Uvod
Agencija za plaćanja u poljoprivredi, ribarstvu i ruralnom razvoju (dalje u tekstu: Agencija za plaćanja) pridaje osobitu pozornost zaštiti osobnih podataka i privatnosti (dalje u tekstu: zaštita privatnosti) svojih korisnika u skladu s važećim propisima te je zaštita privatnosti sastavni dio operativnih procesa Agencije za plaćanja.
Ovom Politikom zaštite privatnosti korisnika Agencije za plaćanja (dalje u tekstu: Politika) žele se pružiti jasne informacije o obradi i zaštiti osobnih podataka korisnika Agencije za plaćanja te korisnicima omogućiti jednostavan nadzor i upravljanje nad njihovim osobnim podacima i privolama.
Područje primjene
Politika se primjenjuje na sve osobne podatke korisnika Agencije za plaćanja koje Agencija za plaćanja prikuplja, upotrebljava ili na drugi način obrađuje. Osobni podatak jest svaki podatak koji se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi, izravno ili neizravno. Obrada osobnih podataka jest bilo koja radnja izvršena na osobnim podacima, primjerice prikupljanje, snimanje, spremanje, upotreba, prijenos osobnih podataka i uvid u osobne podatke.
Politika se ne primjenjuje na anonimne podatke. Anonimni podatak jest podatak koji je izmijenjen na način da se ne može povezati s određenom fizičkom osobom ili se ne može povezati bez nerazmjernog truda pa se stoga, u skladu s važećim propisima, i ne smatra osobnim podatkom.
Politika se primjenjuje na sve poslovne procese u nadležnosti Agencije za plaćanja, odnosno horizontalne poslove, operativnu provedbu mjera izravne potpore, mjera ruralnog razvoja, mjera za pomorstvo i ribarstvo (u dijelu delegiranih funkcija) i mjera zajedničke organizacije tržišta, kao i vođenje upisnika i registara te održavanje i korištenje Integriranog administrativnog i kontrolnog sustava (IAKS-a) preko kojeg se zaprimaju, obrađuju i kontroliraju izravna plaćanja poljoprivrednicima te je obvezujuća za sve radnike Agencije za plaćanja i eventualne treće strane ukoliko Agencija za plaćanja ima izvršitelja obrade osobnih podataka.
U kontekstu važećih propisa o zaštiti osobnih podataka, a napose Opće uredbe o zaštiti podataka i Zakona o provedbi GDPR-a, Agencija za plaćanja je, u pravilu, voditelj obrade osobnih podataka svojih radnika i korisnika.
Načela obrade osobnih podataka
- Zakonitost
Pri obradi osobnih podataka Agencija za plaćanja postupa u skladu sa zakonskim i podzakonskim odredbama, ali isto tako nastoji primjenjivati i dodatne standarde za zaštitu podataka i najbolju praksu (poput ISO/IEC 27001).
- Ograničavanje svrhe
Agencija za plaćanja osobne podatke prikuplja i obrađuje samo u određenu i zakonitu svrhu te ih dalje ne obrađuje na način koji nije u skladu sa svrhom u koju su prikupljeni, osim ako nije drugačije propisano zakonom.
- Smanjenje količine podataka
Agencija za plaćanja nastoji prikupljati i upotrebljavati samo one osobne podatke korisnika koji su primjereni i nužni za postizanje određene zakonite svrhe.
- Točnost osobnih podataka
Osobni podaci koje Agencija za plaćanja obrađuje moraju biti točni, potpuni i ažurni kako bi se osigurala maksimalna zaštita podataka korisnika i spriječile eventualne zloupotrebe. Iz tog razloga važno je da o svakoj promjeni podataka korisnik u najkraćem roku obavijesti Agenciju za plaćanja.
- Ograničenje pohrane
Agencija za plaćanja Podatke Korisnika pohranjujemo i obrađujemo samo onoliko dugo koliko je potrebno za izvršenje određene legitimne svrhe, osim ako važećim propisima nije za pojedinu svrhu predviđeno duže ili kraće vrijeme čuvanja ili u drugim slučajevima izričito propisanim zakonom. Nakon toga, podatci se trajno brišu ili čine anonimnima.
- Cjelovitost i povjerljivost
Agencija za plaćanja osobne podatke obrađuje na siguran način, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja (npr. pristup osobnim podacima korisnika imaju samo ovlaštene osobe kojima je to nužno za obavljanje njihova posla, a ne i drugi zaposlenici).
Kad god je to moguće i opravdano, Agencija za plaćanja nastoji upotrebljavati podatke u anonimiziranom obliku. U slučajevima kad je potrebna upotreba podataka u ne-anonimiziranom obliku, a kad je to moguće i opravdano, Agencija za plaćanja osobne podatke pseudonimizira, tj. posebnim postupcima pseudonimizacije (npr. supstitucija, scramble-iranje itd.) maskira na način da se ne mogu povezati s pojedinim korisnikom bez upotrebe dodatnih informacija.
Prikupljanje i obrada osobnih podataka
- Način prikupljanja osobnih podataka
Agencija za plaćanja osobne podatke korisnika prvenstveno prikuplja izravno od korisnika i to prilikom korisnikovog upisa u upisnik poljoprivrednika, korisnikove prijave za pojedinu potporu i sl., na način da korisnik sam dostavi svoje osobne podatke koji su potrebni za ostvarivanje pojedinih prava.
Preduvjet za svako prikupljanje osobnih podataka korisnika jest postojanje odgovarajuće pravne osnove utemeljene na pojedinom zakonu, pravilniku, uredbi ili drugom pravnom aktu.
- Vrsta podataka koji se prikupljaju
Prilikom prikupljanja osobnih podataka Agencija za plaćanja nastoji prikupljati samo one podatke koji su nužni za postizanje određene zakonite svrhe, a čije je prikupljanje propisano određenim pravilnikom, uredbom, natječajem za pojedinu mjere potpore ili drugim pravnim aktom. Tu se u pravilu radi o podacima kao što su ime i prezime, spol, OIB, datum, mjesto i država rođenja, adresa, kontakt podaci (telefon, fax, e-mail), žiro-račun nositelja OPG-a, preslike osobnih iskaznica nositelja i članova gospodarstva i sl.
- Svrha upotrebe prikupljenih osobnih podataka
Agencija za plaćanja u poljoprivredi, ribarstvu i ruralnom razvoju prikupljene osobne podatke upotrebljava za jednu od sljedećih svrha navedenih u nastavku.
- Ispunjavanje zakonskih obveza
Na temelju pisanog zahtjeva utemeljenog na važećim propisima, Agencija za plaćanja je nadležnim državnim tijelima (npr. sudovima, policiji, državnom odvjetništvu, AZOP-u itd.) obvezna dostaviti ili omogućiti pristup određenim osobnim podacima korisnika.
Pravna osnova za obradu podataka u ove svrhe jest ispunjavanje zakonske obveze Agencije za plaćanja.
- Izvršenje sporazuma o suradnji
Agencija za plaćanja ima potpisane sporazume o suradnji, razmjeni ili ustupanju podataka s drugim državnim i javnim tijelima, kao što su ministarstva, agencije, zavodi i sl. radi olakšanja obavljanja poslovnih procesa obaju strana te prilikom takve razmjene pazi na slanje samo onih podataka koji su nužni za ispunjenje svrhe sporazuma o suradnji
Pravna osnova za obradu podataka u svrhu iz stavka 1. ovog članka jest u skladu s odredbom članka 6. Opće uredbe o zaštiti podataka.
- Interne svrhe
Agencija za plaćanja određene podatke korisnika upotrebljava za potrebe vlastitih evidencija, a u svrhu zaštite legitimnih interesa korisnika i/ili Agencije za plaćanja. To, primjerice, uključuje upotrebu podataka o adresi korisnika radi utvrđivanja najpogodnije lokacije za održavanje edukacija o novim natječajima, mjerama ili potporama koje korisnici mogu ostvariti.
Pravna osnova za obradu podataka u ove svrhe jest legitiman interes Agencije za plaćanja, osim kad su od tog interesa jači interes ili temeljna prava i slobode koje zahtijevaju zaštitu podataka korisnika i/ili pravna osnova zaštite ključnih interesa korisnika ili druge fizičke osobe. Iznimka su slučajevi kada je pravna osnova privola.
- Objava na internetskoj stranici
Agencija za plaćanja na svojim internetskim stranicama objavljuje osobne podatke u dva slučaja: prilikom natječaja za zapošljavanje i prilikom objave korisnika potpora. Agencija za plaćanja po okončanju natječaja za zapošljavanje, sukladno važećem Zakonu o pravu na pristup informacijama, na svojoj internetskoj stranici objavljuje imena i prezimena odabranih kandidata koji su prošli testiranje i koji su primljeni u radni odnos. Također, Agencija za plaćanja objavljuje podatke o korisnicima Europskog fonda za jamstva u poljoprivredi te Europskog poljoprivrednog fonda za ruralni razvoj kako bi osigurala godišnje ex-post objavljivanje korisnika ovih fondova.
Pravna osnova za obradu podataka u svrhu iz stavka 3. ovog članka jest ispunjavanje zakonske obveze Agencije za plaćanja. Podaci o korisnicima Europskog fonda za jamstva u poljoprivredi i Europskog poljoprivrednog fonda za ruralni razvoj objavljuju se u skladu s člankom 57. Provedbene uredbe Komisije (EU) br. 908/2014, a vezano za članak 111. Uredbe (EU) br. 1306/2013 Europskog parlamenta i Vijeća o financiranju, upravljanju i nadzoru zajedničke poljoprivredne politike.
- Privola korisnika
Pod privolom korisnika smatra se dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje korisnika kojim korisnik izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka u određene svrhe. Privola se može dati pisanim putem osobno u središnjem uredu Agencije za plaćanja u Zagrebu, na adresi Ulica grada Vukovara 269d, poštom na prethodno navedenu adresu Agencije za plaćanja ili elektroničkom poštom na adresu: info@apprrr.hr.
Privola korisnika nužna je u situacijama kad se obrada osobnih podataka ne temelju na ispunjavanju zakonske ili ugovorne obveze ili legitimnog interesa voditelja obrade ili korisnika. Primjer ovakve obrade osobnih podataka, koja se temelji na privoli korisnika je slanje promidžbenih materijala trećih osoba ili davanje kontakt informacija korisnika trećim osobama. Bez privole korisnika Agencija neće obavljati ovakvu vrstu obrade osobnih podataka niti će obrađivati podatke korisnika u drugim slučajevima u kojima je po važećim propisima nužna privola. Korisnik u svakom trenutku ima pravo povući svoju privolu za pojedinu vrstu obrade osobnih podataka. Povlačenje privole moguće je napraviti na isti način kao i davanje iste.
- Kolačići (eng. Cookies)
Kako bi Agencija za plaćanja korisnicima i posjetiteljima pružila optimalno korištenje svoje internetske stranice, Agencija za plaćanja upotrebljava tzv. „kolačiće“ (eng. cookies) i/ili druge uobičajene tehnike (dalje: kolačići) koje prikupljaju određene podatke korisnika (npr. IP adresa s koje se pristupa internetskoj stranici, vrijeme spajanja, itd.). Prilikom prvog posjeta internetskoj stranici Agenciji za plaćanja korisnik dobiva sljedeću informaciju: „Korištenjem stranice www.apprrr.hr pristajete na uporabu kolačića (eng. cookies). Blokiranjem kolačića i dalje možete pregledavati stranicu, ali neke njezine funkcionalnosti Vam neće biti dostupne.“ Informacije o tome što su kolačići i čemu služe korisnik može dobiti ako otvori poveznicu „Više o kolačićima“ u nastavku prikazane obavijesti. Na temelju tih informacija korisnik pri posjetu internetskoj stranici daje ili uskraćuje svoju privolu za upotrebu kolačića. Postavke kolačića mogu se kontrolirati i konfigurirati u internetskom pregledniku.
- Zaštita korisničkih podataka
Agencija za plaćanja upotrebljava razne tehničke i organizacijske mjere zaštite podataka korisnika od neovlaštenog uvida osoba unutar i izvan Agencije za plaćanja, izmjene, gubitka, krađe i bilo koje druge povrede i zloupotrebe podataka u skladu s praksom zaštite osobnih podataka i informacijske sigurnosti. Ove mjere, među ostalim, uključuju sljedeće:
- fizičku kontrolu pristupa prostorijama u kojima su smješteni poslužitelji, kao i samim poslužiteljima, na kojima se nalaze podaci korisnika
- logičku kontrolu pristupa podacima korisnika u vidu dodjele prava pristupa podacima korisnicima na samo one zaposlenike kojima je to potrebno u opsegu posla koji obavljaju
- sklapanje sporazuma o povjerljivosti sa svim izvođačima koji, između ostalog, sadrži i odredbe o zaštiti osobnih podataka korisnika
- implementaciju primjerenih mjera zaštite na sustavima na kojima se nalaze podaci korisnika
- provođenje redovitih kontrola sigurnosnih mjera i mjera zaštite osobnih podataka
- kontinuiranu edukaciju djelatnika Agencije za plaćanja u poljoprivredi
- Lokacija obrade osobnih podataka
Osobne podatke korisnika Agencija u pravilu obrađuje samo u Republici Hrvatskoj. Iznimno se ti podaci obrađuju i u drugim državama Europske unije u slučajevima kad je potrebno određene podatke dostaviti Europskoj komisiji (npr. u slučajevima da to zatraži Europski revizorski sud ili drugo tijelo Europske komisije).
- Prosljeđivanje osobnih podataka trećim osobama
Podaci korisnika za Agenciju za plaćanja u poljoprivredi od iznimne su važnosti te se s tim podacima postupa sukladno važećoj nacionalnoj i EU regulativni uz primjenu odgovarajućih tehničkih i sigurnosnih mjera zaštite osobnih podataka od neovlaštenog pristupa, zlouporabe, otkrivanja, gubitka ili uništenja. Sukladno tome, Agencija za plaćanja podatke korisnika nikada nikome ne prodaje niti dobiva bilo kakvu financijsku korist iz njih. Također, Agencija za plaćanja ne prosljeđuje i ne razmjenjuje podatke korisnika ni s kojim drugim pravnim ili fizičkim osobama, osim u sljedećim slučajevima:
- ako postoji zakonska obveza ili izričito ovlaštenje na temelju zakona (npr. na temelju zahtjeva suda)
- ako za obavljanje pojedinih poslova Agencija za plaćanja u poljoprivredi angažira drugu osobu kao delegirano tijelo ili tehnički servis (npr. djelatnike Hrvatske poljoprivredne agencije za provedbu kontrole na terenu)
- ako postoji ugovorno vezana međusobna suradnja s drugim državnim tijelima (npr. ministarstvima ili agencijama) za potrebe provjere ili razmjene podataka
- na temelju privole Korisnika.
- Prava korisnika
Uz aktivnu ulogu korisnika u vezi upravljanja privolama, tj. pravom korisnika da u svakom trenutku da i povuče privolu za slučajeve obrade osobnih podataka gdje se traži privola, korisnik ima, sukladno važećim propisima i sljedeće aktivne uloge:
- pravo na ispravak: korisnik ima pravo ishoditi ispravak netočnih osobnih podataka koji se odnose na korisnika.
- pravo na brisanje: korisnik ima pravo ishoditi brisanje osobnih podataka koji se odnose na njega bez nepotrebnog odgađanja i pod uvjetima navedenima u važećim propisima o zaštiti podataka osim u slučajevima kad to nije moguće uslijed zakonske obveze Agencije za plaćanja kao Voditelja obrade.
- pravo na prigovor: korisnik ima pravo u svakom trenutku uložiti prigovor na svaku obradu podataka korisnika koji se temelje na tzv. legitimnom interesu Agencije za plaćanja. U tom slučaju Agencija za plaćanja neće obrađivati podatke u navedene svrhe, osim ako je drugačije propisano zakonom.
- pravo na pristup: korisnik ima pravo dobiti potvrdu obrađuju li se osobni podaci korisnika te, ako se takvi osobni podatci obrađuju, pristup tim podacima i informacije o svrsi obrade, kategorijama osobnih podataka, primateljima ili kategorijama primatelja, o predviđenom razdoblju u kojemu će podaci biti pohranjeni ili o kriterijima upotrijebljenima za utvrđivanje tog razdoblja, postojanju prava korisnika, postojanju automatiziranog donošenja odluka te o informacijama o logici obrade, važnosti i predviđenim posljedicama obrade.
- pravo na prenosivost podataka: korisnik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio Agenciji za plaćanja, u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade i svrhu za koju su podaci prikupljeni.
- obveza čuvanja podataka: uz gore navedena prava, korisnik ima i obvezu čuvati u tajnosti i s dužnom pozornosti sve identifikacijske oznake koje mu Agencija za plaćanja dodijeli (npr. korisničko ime i lozinku) jer se sve radnje koje se poduzmu s identifikacijskim oznakama korisnika smatraju radnjama samog korisnika. Također, korisnik je obvezan promijeniti lozinku ili druge pristupne podatke odmah kada posumnja u neovlaštenu upotrebu tih podataka te obavijestiti Agenciju za plaćanja u slučaju sumnje na zloupotrebu identifikacijskih oznaka.
- Kontakt
Svoja prava korisnik može ostvariti podnošenjem odgovarajućeg zahtjeva u slobodnoj formi osobno u središnjem uredu Agencije za plaćanja u Zagrebu, na adresi Ulica grada Vukovara 269d, poštom na gore navedenu adresu Agencije za plaćanja ili elektroničkom poštom na adresu: info@apprrr.hr.
Ako korisnik sumnja na povredu svojih osobnih podataka, svoju sumnju prijavljuje pisanim putem na elektroničku adresu: info@apprrr.hr ili poštansku adresu: Agencija za plaćanja u poljoprivredi, ribarstvu i ruralnom razvoju, Ulica grada Vukovara 269d, 10000 Zagreb.
U slučaju bilo kakvih pitanja o ovoj Politici i/ili zaštiti osobnih podataka pri Agenciji za plaćanja, korisnik se može obratiti na elektroničku adresu info@apprrr.hr.
Također, korisnik je ovlašten podnijeti prigovor Agenciji za zaštitu osobnih podataka.
Izmjene, dopune i prijelazne odredbe Politike
Politika zaštite privatnosti korisnika stupa na snagu i počinje se primjenjivati na dan objave na internetskim stranicama. O mogućim izmjenama i dopunama Politike korisnici će biti pravovremeno obaviješteni putem objave na internetskim stranicama Agencije za plaćanja.