HRVATSKA

PRAVILA O PRIVATNOSTI

 

Izmijenjeno na dan 22.1.2024.

 

U društvu Samsung Electronics Austria GmbH, našoj podružnici u Zagrebu i našim povezanim društvima („Samsung“, „mi“, „nas“, „naš“) znamo koliko je privatnost važna našim korisnicima, kupcima, zaposlenicima, dobavljačima, klijentima i svima drugima s kojima surađujemo, pa se trudimo biti jasni u vezi s tim kako prikupljamo, koristimo, otkrivamo, prenosimo i pohranjujemo osobne podatke.

 

U nastavku slijede glavna pitanja koja su obuhvaćena našim Pravilima o privatnosti.

 

 

  1. Područje primjene i svrha
  2. Odgovornost za usklađenost
  3. Definicije
  4. Načela Opće uredbe o zaštiti podataka
  5. Posebne kategorije osobnih podataka
  6. Dijeljenje osobnih podataka (uključujući prijenos podataka izvan EGP-a)
  7. Izrada profila i automatizirano donošenje odluka
  8. Izravni marketing
  9. Prava ispitanika
  10. Povreda osobnih podataka
  11. Ažuriranje Pravila
  12. Korisni podaci za kontakt

 

 

 

 

  1. Područje primjene i svrha

Ovim dokumentom utvrđuju se pravila zaštite podataka i zakonski uvjeti koje je potrebno ispuniti, a koji se odnose na dobivanje, postupanje, obradu, pohranu, prijenos i uništavanje osobnih podataka.

 

Vrste podatka koje ćemo možda obrađivati uključuju detalje o sadašnjim, prošlim i potencijalnim budućim korisnicima, kupcima, članovima osoblja, dobavljačima, klijentima i svima onima s kojima komuniciramo. Podaci koji se čuvaju na papiru, računalu ili nekom drugom mediju podliježu pravnim zaštitnim mjerama utvrđenima u Općoj uredbi o zaštiti podataka („GDPR“) i mjerodavnom pravu za zaštitu podataka kojima se nameću ograničenja načina na koje smijemo koristiti spomenute podatke.

 

Održavamo najviše standarde prilikom postupanja s osobnim podacima. Ova Pravila primjenjuju se na načine dobivanja, korištenja, pohrane, brisanja i drugih oblika obrade osobnih podataka s kojima se susrećemo u našem poslovanju. Ona uključuju opširni sažetak glavnih obveza zaštite podataka koja se primjenjuju na nas kao organizaciju.

Ova Pravila o privatnosti primjenjuju svi Samsungovi zaposlenici i drugi pružatelji usluga Samsungu (uključujući, ali se ne ograničavajući na izvođače radova i agencijske radnike) (zajednički „članovi osoblja“). Svi članovi osoblja dužni su se pobrinuti da razumiju i da se pridržavaju ovih Pravila u pogledu bilo kakvih osobnih podataka kojima imaju pristup u svom radu.

 

Članovi osoblja također će biti dužni pohađati obuku u vezi s ovim i srodnim pravilima na zahtjev Samsunga.

 

 

  1. Odgovornost za usklađenost

Osobe na rukovodećim pozicijama odgovorne su za to da članovi njihovih timova poštuju pravila zaštite podataka.

 

  1. Definicije

Voditelji obrade su osobe ili organizacije koje određuju svrhu i način obrade osobnih podataka. Njihova je dužnost utvrditi prakse i pravila koja će biti u skladu s Općom uredbom o zaštiti podataka.

Ispitanici u smislu ovih Pravila podrazumijevaju sve živuće pojedince čijim osobnim podacima raspolažemo, uključujući sadašnje, prošle i potencijalne korisnike, kupce, klijente, dobavljače, agente, ulagače te članove našeg osoblja. Svi ispitanici imaju zakonska prava u pogledu svojih osobnih podataka.

Osobni podaci su podaci koji se odnose na živućeg pojedinca čiji se identitet može utvrditi na temelju tih podataka (ili na temelju tih i drugih podataka koje posjedujemo).

Obrada je bilo koji postupak koji uključuje upotrebu osobnih podataka. Uključuje dobivanje, korištenje, pregled, pristup, bilježenje ili posjedovanje podataka ili obavljanje jedne radnje ili skupa radnji u vezi s podacima, uključujući njihovu organizaciju, ispravljanje, pronalaženje, upotrebu, otkrivanje, brisanje ili uništavanje. Obrada također podrazumijeva prijenos osobnih podataka trećim osobama.

Podaci posebnih kategorija (prethodno znani kao osjetljivi osobni podaci) uključuju podatke o rasnom ili etničkom podrijetlu osobe, njezinim političkim mišljenjima, vjerskim ili sličnim uvjerenjima, članstvu u sindikatu, fizičkom ili mentalnom zdravlju ili stanju i spolnom životu te genetske i biometrijske podatke u svrhu identifikacije pojedinca.

 

  1. Načela Opće uredbe o zaštiti podataka

Svatko tko vrši obradu podataka mora poštivati provediva načela dobre prakse utvrđena u Općoj uredbi o zaštiti podataka kojih će se Samsung pridržavati na sljedeće načine:

  • Osobne ćemo podatke obrađivati zakonito, pošteno i transparentno (vidjeti pod „zakonitost, poštenost i transparentnost”).
  • Osobne ćemo podatke prikupljati u posebne, izričite i zakonite svrhe te ih nećemo obrađivati na način koji nije u skladu s tim svrhama (vidjeti pod „ograničavanje svrhe i smanjenje količine podataka“).
  • Obrađivat ćemo osobne podatke koji su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (vidjeti pod „ograničavanje svrhe i smanjenje količine podataka“).
  • Pobrinut ćemo se da osobni podaci budu točni i prema potrebi ažurni; ako su podaci netočni, poduzet ćemo svaku razumnu mjeru kako bi oni bili bez odlaganja izbrisani ili ispravljeni, uzimajući u obzir svrhe u koje se ti podaci obrađuju (vidjeti pod „točnost“).
  • Osobne ćemo podatke čuvati u onom obliku koji omogućuje identifikaciju pojedinca na kojeg se oni odnose samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (vidjeti pod „ograničenje pohrane“).
  • Primjenjivat ćemo odgovarajuće tehničke ili organizacijske mjere kojima se osigurava sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja (vidjeti pod „cjelovitost i povjerljivost”).

 

U nastavku slijede dodatne informacije o svakom od ovih načela.

 

4.1. Zakonitost, poštenost i transparentnost

 

Cilj mjerodavnog prava o zaštiti osobnih podataka nije spriječiti obradu osobnih podataka, već osigurati da se to čini pošteno i bez negativnog učinka na prava ispitanika.

Obrada osobnih podataka zakonita je ako se temelji na jednom od pravnih temelja za obradu predviđenih Općom uredbom o zaštiti podataka.  U našem poslovanju, pravni temelj za obradu osobnih podataka može biti jedan od sljedećih: ispitanik je izričito i slobodno dao privolu za obradu; obrada je propisana zakonom; obrada je nužna za izvršavanje ugovora koji smo sklopili s ispitanikom; obrada je nužna za potrebe zakonitih interesa Samsunga ili strane kojoj su podaci otkriveni (osim kada su od tih interesa jači interesi ili temeljna prava ili slobode pojedinca). Prije početka obrade osobnih podataka (primjerice, prije prikupljanja osobnih podataka od pojedinca) razmatramo razloge za prikupljanje podataka i zašto su nam oni potrebni. Također utvrđujemo pravni temelj koji nam omogućuje zakonito dobivanje i obradu podataka.

Ispitaniku je, u skladu sa zakonom, potrebno dostaviti određene informacije, uključujući (ali ne se ograničavajući na) sljedeće: tko je voditelj obrade (u ovom slučaju to je Samsung Electronics Austria GmbH Podružnica Zagreb, Radnička cesta 37 b, Zagreb); svrhe radi kojih ćemo obrađivati podatke, pravnu osnovu za obradu, identitet osoba kojima podaci mogu biti otkriveni ili preneseni i prava ispitanika u vezi s njihovim osobnim podacima. Ove informacije moraju biti sadržane u odgovarajućoj obavijesti o privatnosti podataka ili izjavi o poštenoj obradi podataka.

 

4.2. Ograničavanje svrhe i smanjenje količine podataka

 

Osobni podaci mogu se obrađivati samo radi određenih svrha o kojima je ispitanik bio obaviješten prilikom prvog prikupljanja podataka ili u druge svrhe koje su izričito dopuštene mjerodavnim pravom o zaštiti podataka. To znači da se osobni podaci ne smiju prikupljati u jedne, a koristiti u druge svrhe. Ako je potrebno promijeniti svrhu radi koje se osobni podaci obrađuju, ispitanik mora biti obaviješten o novoj svrsi prije početka bilo kakve obrade.

 

4.3. Točnost

 

Osobni podaci moraju biti točni i ažurni. Neispravni podaci ili podaci koji dovode u zabludu nisu točni, pa je stoga potrebno poduzeti korake u svrhu provjere točnosti svih osobnih podataka u trenutku njihova prikupljanja te nakon toga u redovitim vremenskim razmacima. Netočne ili neažurne podatke potrebno je izmijeniti ili izbrisati.

 

 

4.4. Ograničenje pohrane

 

Osobne podatke potrebno je čuvati u obliku koji ne omogućuje identifikaciju pojedinca na kojeg se oni odnose samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci prikupljaju. To znači da je podatke potrebno uništiti ili izbrisati iz našeg sustava kad oni više nisu potrebni, a osobne podatke potrebno je sakriti.

Nakon isteka razdoblja čuvanja, evidencija koja sadrži osobne podatke bit će uklonjena na siguran način i uništena, osim u slučaju kada postoji opravdan poslovni razlog za njezino zadržavanje i nakon ovog razdoblja (primjerice, ispitanik je pokrenuo spor protiv nas i zadržani osobni podaci relevantni su za taj spor). Pritom smo neke osobne podatke dužni čuvati onoliko dugo koliko to nalažu primjenjivi zakonski propisi.

 

 

4.5. Cjelovitost i povjerljivost

 

Dužni smo poduzeti odgovarajuće mjere zaštite protiv nezakonite ili neovlaštene obrade osobnih podataka te protiv njihova slučajnog gubitka ili oštećenja.

Očuvanje sigurnosti podataka podrazumijeva osiguravanje povjerljivosti, cjelovitosti i dostupnosti osobnih podataka koje se definiraju kako slijedi:

  1. a) Povjerljivost znači da pristup osobnim podacima imaju samo one osobe koje su ovlaštene za njihovo korištenje.
  2. b) Cjelovitost znači da osobni podaci moraju biti točni i prikladni za svrhe u koje se obrađuju te pouzdani za svog vijeka trajanja (odnosno, neovlaštene osobe ne smiju izmijeniti te podatke).
  3. c) Dostupnost znači da ovlašteni korisnici imaju mogućnost pristupa podacima ako su im oni neophodni za odobrene svrhe

Sigurnosni postupci uključuju:

  1. a) Kontrole pri ulazu. Prijavljivanje neznanca u prostorijama s kontroliranim ulazom.
  2. b) Sigurne stolove i ormare na zaključavanje. Zaključavanje stolova i ormara ako se u njima čuvaju povjerljive informacije bilo koje vrste. (Osobni podaci uvijek se smatraju povjerljivima).
  3. c) Načine uništavanja. Papirnate dokumente potrebno je izrezati. Diskete i kompaktne diskove samo za čitanje (CD-ROM) potrebno je fizički uništiti onda kada oni više nisu potrebni.
  4. d) Opremu. Samsungovi članovi osoblja dužni su osigurati da povjerljive informacije prolaznicima nisu vidljive na zaslonima te se odjaviti s osobnog računala kad ga ostavljaju bez nadzora.

Samsung se pridržava svih postupaka i koristi sve raspoložive tehnologije kako bi se očuvala sigurnost svih osobnih podataka od trenutka njihova prikupljanja pa sve do njihova uništenja. U praksi to znači sljedeće:

  1. a) Može se pristupiti samo onim osobnim podacima za koje postoji dopuštenje te samo u odobrene svrhe.
  2. b) Niti jednoj drugoj osobi (uključujući i druge Samsungove članove osoblja) ne smije se omogućiti pristup osobnim podacima, osim ako imaju odgovarajuće dopuštenje za to.
  3. c) Osobni se podaci štite primjerice poštivanjem pravila o pristupu prostorijama, pristupu računalu, zaštitom pomoću lozinke i enkripcijom, omogućavanjem sigurne pohrane podataka i njihovog uništavanja.
  4. d) Osobne podatke (uključujući i osobne podatke u spisima) ili uređaje koji sadrže osobne podatke (ili uređaje koje je moguće upotrijebiti kako bi se pristupilo osobnim podacima) ne iznosi se iz Samsungovih prostorija, osim ako su poduzete odgovarajuće mjere sigurnosti (primjerice, pseudonomizacija, enkripcija ili zaštita lozinkom) radi zaštite podataka i uređaja.
  5. e) Osobne podatke se ne pohranjuje na lokalnom disku ili osobnom uređaju koji se upotrebljavaju u radne svrhe.

 

  1. Posebne kategorije osobnih podataka

Povremeno ćemo možda morati obrađivati posebne kategorije osobnih podataka.

Posebne kategorije osobnih podataka obrađivat ćemo samo onda kada za to imamo pravni temelj (vidjeti u Odjeljku 4 ovih Pravila) i kada se primjenjuje jedan od posebnih uvjeta za obradu podataka posebnih kategorija. Posebni uvjeti uključuju, ali se ne ograničavaju na sljedeće:

  1. a) Ispitanik je dao izričitu privolu za obradu.
  2. b) Obrada je nužna za potrebe ostvarivanja prava i izvršavanja obveza Samsunga ili ispitanika u području radnog prava.
  3. c) Obrada je nužna za zaštitu životno važnih interesa ispitanika, a ispitanik je fizički nesposoban dati privolu.
  4. d) Obrada se odnosi na podatke za koje je očito da ih je objavio ispitanik.
  5. e) Obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva.
  6. f) Obrada je nužna za potrebe od značajnog javnog interesa.

 

  1. Dijeljenje osobnih podataka (uključujući prijenos podataka izvan EGP-a)

Osobni podaci mogu se prenositi samo trećoj strani kao pružatelju usluga koja pristaje pridržavati se potrebnih pravila i postupaka i ispunjavati sve relevantne ugovorne odredbe koje od nje zahtijevamo te koja na zahtjev pristaje na provedbu odgovarajućih mjera.

Osobni podaci mogu se podijeliti s drugim članom osoblja naše grupe (koja uključuje naša društva kćeri i naše nadređeno društvo skupa s njegovim društvima kćerima) samo ako su primatelju takvi podaci neophodni za potrebe posla, a prijenos je u skladu s primjenjivim ograničenjima prekograničnog prijenosa (vidjeti u nastavku).

Zakonodavstvo o zaštiti podataka ograničava prijenos podataka u zemlje izvan Europskog gospodarskog prostora („EGP”) kako se ne bi ugrozilo traženu razinu zaštite podataka.

Osobni podaci koji potječu iz jedne zemlje prenose se preko granice ako ih se dostavlja, šalje, vrši uvid u njih ili im se pristupa u nekoj drugoj zemlji. Prije prekograničnog prijenosa osobnih podataka provjerit će se jesu li za to zadovoljeni svi potrebni uvjeti te ćemo, u skladu sa zahtjevima Opće uredbe o zaštiti podataka, poduzeti potrebne mjere kako bismo osigurali dovoljnu razinu zaštite osobnih podataka koji se prenose (prvenstveno uključujući, ali ne ograničavajući se na sklapanja standardnih ugovornih klauzula).

 

  1. Izrada profila i automatizirano donošenje odluka

Postoje značajna ograničenja u pogledu okolnosti u kojima je moguće donijeti automatiziranu odluku o pojedincima (radi se o odluci koja se donosi isključivo automatizirano, bez ikakve ljudske intervencije). Ovo vrijedi i za izradu profila (radi se o automatiziranoj obradi osobnih podataka za ocjenu određenih aspekata u vezi s pojedincem, primjerice bi li pojedincu bili zanimljivi određeni proizvodi).

Ova vrsta odlučivanja moguća je samo radi izvršavanja ugovora, onda kada je to dopušteno zakonom ili ako je pojedinac na to dao izričitu privolu. Pojedinci imaju pravo na informacije o donošenju odluka te imaju određena prava o kojima moraju biti obaviješteni, uključujući pravo na zahtijevanje ljudske intervencije ili pravo na osporavanje odluke, a za ovu vrstu odlučivanja također postoje stroga ograničenja u vezi s korištenjem posebnih kategorija osobnih podataka.

Svaka aktivnost izrade profila bit će provedena potpuno u skladu s mjerodavnim zakonodavstvom.

  1. Izravni marketing

Postoje strogi zahtjevi zaštite podataka u vezi s izravnim marketingom koji je usmjeren na naše klijente te pritom slijedimo sve smjernice koje se odnose na nas. Obradu osobnih podataka u svrhe marketinga temeljimo isključivo na izričitoj privoli ispitanika kao odgovarajućoj pravnoj osnovi. 

 

  1. Prava ispitanika

Osobni se podaci obrađuju u skladu s pravima ispitanika. Ispitanici imaju sljedeća prava:

  1. a) Ako su dali privolu na obradu, oni mogu u bilo kojem trenutku povući tu privolu.
  2. b) Imaju pravo na jasne, transparentne i lako razumljive informacije o načinima upotrebe njihovih osobnih podataka.
  3. c) Imaju pravo zatražiti pristup svim podacima u posjedu voditelja obrade koji se odnose na njih.
  4. d) Imaju pravo zatražiti da se netočni podaci izmijene i isprave.
  5. e) Imaju pravo zahtijevati brisanje podataka koji se odnose na njih a koji se nalaze u posjedu voditelja obrade ako su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom.
  6. f) Imaju pravo zahtijevati ograničavanje obrade u slučajevima kada su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom.
  7. g) Imaju pravo zahtijevati prijenos podataka drugom voditelju obrade ako su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom.
  8. h) Imaju pravo uložiti prigovor na obradu osobnih podataka ako su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom o zaštiti podataka.
  9. i) Imaju pravo da se na njih ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se odnose na njih ili na sličan način značajno na njih utječe, osim ako su dali izričitu privolu za to ili ako je to neophodno za sklapanje ili izvršavanje ugovora s njima.
  10. j) Imaju pravo na pritužbu Agenciji za zaštitu osobnih podataka u vezi s našom obradom podataka (podaci za kontakt nalaze se u nastavku), iako bismo voljeli potaknuti ispitanika da se u slučaju bilo kakvih nedoumica najprije obrati nama kako bismo mi pokušali riješiti problem.

 Ako ispitanik želi ostvariti neko od svojih prava, treba se obratiti na neki od kontakata navedenih u Odjeljku 12. ovih Pravila privatnosti. Prije obrade zahtjeva ispitanika bit će potrebno poduzeti odgovarajuće korake radi utvrđivanja identiteta osobe koja podnosi zahtjev.

Službeni zahtjev ispitanika (podnositelja zahtjeva) možete nam poslati u skladu s kontakt podacima (pogledaj pod „12. Korisni podaci za kontakt“). Osim u iznimnim slučajevima, odgovorit ćemo vam na zahtjev u roku od 30 dana od njegova primitka. Ako Samsung ne može pružiti zatražene osobne podatke, razlozi za to bit će potpuno dokumentirani te će ispitanik biti obaviješten o njima u pisanom obliku. Ispitaniku će također biti dostavljeni podaci o nadležnom nadzornom tijelu kojem je moguće podnijeti pritužbu, u skladu sa zahtjevima mjerodavnog prava o zaštiti podataka.

 

  1. Povreda osobnih podataka

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. Povreda ne mora nužno podrazumijevati otkrivanje osobnih podataka vanjskom izvoru bez potrebnog dopuštenja, ali može značiti da je netko iznutra pristupio tim podacima bez potrebnog dopuštenja.

Neke oblike povrede dužni smo prijaviti nadležnom regulatornom tijelu, a u ograničenom broju slučajeva i samim ispitanicima.

O povredi osobnih podataka ili sumnji na povredu bez odlaganja ćemo obavijestiti Službu za sigurnost europskog sjedišta Samsunga, relevantnog službenika za zaštitu podataka i pravnu službu i službu za praćenje usklađenosti kako bi oni mogli poduzeti neophodne mjere ili po potrebi proslijediti slučaj dalje.

 

  1. Ažuriranje Pravila

Odjel za ljudske resurse, pravna služba i služba za praćenje usklađenosti zaduženi su za redovit pregled i ažuriranje ovih Pravila. U slučaju ažuriranja i izmjene ovih pravila,datum stupanja na snagu tako ažuriranih pravila bit će vidljiv na početku dokumenta.

 

 

  1. Korisni podaci za kontakt

U vezi sa zaštitom podataka možete se obratiti na sljedeću adresu:

Samsung Electronics Austria GmbH, Podružnica Zagreb

Radnička cesta 37b, Zagreb, Republika Hrvatska

Adresa e-pošte:

Obratite nam se na dataprotection.sead@samsung.com

 

Ako smatrate da naša obrada vaših osobnih podataka nije u skladu s mjerodavnim pravom, možete podnijeti pritužbu Agenciji za zaštitu osobnih podataka, Selska cesta 136, 10000 Zagreb.