Zaštita osobnih podataka

1. Uvodne odredbe
Ovim Pravilnikom o zaštiti i obradi osobnih podataka (u daljnjem tekstu: Pravilnik) uređuju se pravila zaštite i obrade osobnih podataka koje Izvršitelj obrađuje u okviru pružanja aplikacije i povezanih usluga naručiteljima u poslovnom (B2B) okruženju.

Pravilnik je izrađen u skladu s:
• Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (Opća uredba o zaštiti podataka – GDPR),
• Zakonom o zaštiti osobnih podataka (ZVOP-2),
• važećim radnopravnim zakonodavstvom Republike Slovenije,
• ostalim važećim propisima Europske unije.

Pravilnik je javno objavljen na mrežnoj stranici Izvršitelja. Na njega se mogu izričito pozivati ugovori, narudžbenice ili opći uvjeti Izvršitelja, pri čemu ovaj Pravilnik čini njihov sastavni dio u opsegu određenom ugovorom.

2. Značenje pojmova
Izvršitelj je pravna ili fizička osoba koja pruža aplikaciju i u tom okviru nastupa kao izvršitelj obrade osobnih podataka.
Naručitelj je poslovni subjekt koji koristi aplikaciju i nastupa kao voditelj obrade osobnih podataka.
Aplikacija je informacijsko rješenje Izvršitelja.
Osobni podaci imaju značenje određeno GDPR-om.
Posebne kategorije osobnih podataka su podaci iz članka 9. GDPR-a.
Revizijski trag (audit trail) označava elektronički zapis pristupa, uvida, izmjena i brisanja osobnih podataka u aplikaciji.

3. Uloge u obradi osobnih podataka
(1) U odnosu na osobne podatke zaposlenika Naručitelja:
– Naručitelj nastupa kao voditelj obrade osobnih podataka,
– Izvršitelj nastupa kao izvršitelj obrade osobnih podataka u skladu s člankom 28. GDPR-a.

(2) Izvršitelj obrađuje osobne podatke isključivo na temelju uputa Naručitelja i isključivo u svrhu izvršavanja ugovornih usluga.

4. Voditelj obrade i izvršitelj obrade

Izvršitelj obrade (Izvršitelj):
Kopa, računalni inženiring d.d.
Kidričeva 14
2380 Slovenj Gradec
02 88 39 700
info@kopa.si

Voditelj obrade:
Svaki pojedini Naručitelj, kako je određeno u pojedinačnom ugovoru.

5. Kategorije ispitanika i vrste osobnih podataka

5.1 Kategorije ispitanika
Zaposlenici i druge osobe u radnom ili usporedivom odnosu kod Naručitelja.

5.2 Vrste osobnih podataka
U aplikaciji se mogu obrađivati:
• identifikacijski i kontaktni podaci,
• podaci o radnom odnosu,
• podaci o korištenju aplikacije,
• posebne kategorije osobnih podataka u smislu članka 9. GDPR-a, koji se zakonito vode u kadrovskim evidencijama Naručitelja (npr. podaci o zdravlju, invalidnosti, sindikalnom članstvu).

Izvršitelj ne određuje sadržaj, svrhu niti zakonitost tih podataka.

6. Svrha obrade
Osobni podaci obrađuju se isključivo radi:
• vođenja i upravljanja evidencijama Naručitelja,
• osiguravanja rada aplikacije,
• upravljanja korisničkim pristupima,
• osiguravanja informacijske sigurnosti,
• tehničke podrške i otklanjanja pogrešaka,
• ispunjavanja ugovornih obveza Izvršitelja.

7. Pravna osnova
(1) Pravna osnova za obradu osobnih podataka, uključujući posebne kategorije osobnih podataka, proizlazi iz:
• radnopravnog zakonodavstva,
• legitimnog interesa Naručitelja,
• ugovora između Izvršitelja i Naručitelja,
• članka 9. stavka 2. točke (b) GDPR-a za posebne kategorije osobnih podataka.

(2) Za postojanje odgovarajuće pravne osnove odgovoran je Naručitelj kao voditelj obrade.

8. Obveze Izvršitelja kao izvršitelja obrade
Izvršitelj se obvezuje da će:
• obrađivati osobne podatke isključivo prema uputama Naručitelja,
• osigurati povjerljivost osoba koje obrađuju osobne podatke,
• provoditi odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka,
• osiguravati revizijski trag (audit trail) svih pristupa, uvida, izmjena i brisanja osobnih podataka u aplikaciji,
• omogućiti Naručitelju uvid u revizijske zapise u razumnom opsegu,
• bez nepotrebnog odgađanja obavijestiti Naručitelja o povredama zaštite osobnih podataka,
• po prestanku ugovornog odnosa izbrisati ili vratiti osobne podatke, osim ako zakon ne propisuje drugačije.

9. Podizvršitelji obrade
Izvršitelj može koristiti podizvršitelje obrade isključivo za tehničke usluge (npr. hosting, održavanje), pri čemu:
• osigurava sklapanje ugovora u skladu s člankom 28. GDPR-a,
• osigurava jednaku razinu zaštite osobnih podataka,
• u potpunosti ostaje odgovoran za postupanje podizvršitelja obrade.

10. Međunarodni prijenosi
Prijenosi osobnih podataka u treće zemlje ili međunarodne organizacije provode se samo ako su ispunjeni uvjeti iz Poglavlja V. GDPR-a i ako je Naručitelj o tome prethodno obaviješten.

11. Prava ispitanika
Zaposlenici Naručitelja ostvaruju svoja prava u odnosu na Naručitelja kao voditelja obrade.
Izvršitelj pruža Naručitelju razumnu pomoć pri ispunjavanju tih obveza.

12. Nadzor i revizija
Naručitelj ima pravo, uz prethodnu najavu i u razumnom opsegu, provjeriti usklađenost Izvršitelja s ovim Pravilnikom, uključujući pregled dokumentacije i revizijskih tragova.

13. Odnos prema ugovorima
Ovaj Pravilnik primjenjuje se zajedno s ugovorima sklopljenima između Izvršitelja i Naručitelja.
U slučaju nesukladnosti, prevladavaju odredbe ugovora ako su strože za Naručitelja.

14. Izmjene i stupanje na snagu
Izvršitelj zadržava pravo izmjene ovog Pravilnika. Važeća verzija uvijek je objavljena na mrežnoj stranici Izvršitelja.
Ovaj Pravilnik stupa na snagu 1.1.2026. Pravilnik o zaštiti i obradi osobnih podataka primjenjuje se kada se na njega izričito pozivaju ugovori ili opći uvjeti Izvršitelja.