Menu
Date of entering into force: May 2018
At Samsung Electronics Austria GmbH, our subsidiary in Zagreb and our affiliates (“Samsung”, “we”, “us”, “our”) we know how important privacy is to our employees, suppliers, customers and everyone else we work with. so we strive to be clear about how we collect, use, disclose, transmit, and store personal information.
The following are the main issues covered by our Privacy Policy.
1. Scope of application and purpose
2. Responsibility for compliance
3. Our responsibility
4 Definitions
5. Principles of the General Data Protection Regulation
6. Special categories of personal data
7. Sharing of personal data (including transfer of data outside the EEA)
8. Profile creation and automated decision making
9. Direct marketing
10. Keeping records
11. Respondents’ rights
12. Personal data breach
13. Rules Update
14. Useful contact information
1. Scope of application and purpose
This document sets out the data protection rules and legal requirements to be fulfilled relating to the acquisition, treatment, processing, storage, transfer and destruction of personal data.
The types of data we may be processing include details of current, past and potential future staff members, suppliers, customers and anyone we interact with. Data stored on paper, computer or other medium is subject to the legal safeguards set out in the General Data Protection Regulation (“GDPR”) and the applicable data protection law imposing restrictions on how we may use the information mentioned.
Maintaining the highest standards in our handling of personal data is a collective and individual responsibility and these Rules apply to the methods of obtaining, using, storing, deleting and other forms of processing of personal data encountered in our business. They include a comprehensive summary of the major data protection obligations that apply to us as an organization.
This Privacy Policy applies to all Samsung employees and other Samsung service providers (including but not limited to contractors and agency workers) (common “staff members”). All staff members must make sure that they understand and abide by these Rules with respect to any personal data they have access to in their work.
Staff members will also be required to attend training on this and related rules at Samsung’s request.
2. Responsibility for compliance
The data protection officer whose contact information is located at the end of these Rules is responsible for overseeing the implementation of data protection and compliance with these Rules.
Managers are responsible for ensuring that members of their teams comply with data protection rules.
3. Our responsibility
The General Data Protection Regulation predicts very high fines for organizations that violate its provisions. Depending on the type of violation, organizations could pay a fine of up to € 20 million, or 4% of total annual worldwide turnover for the last financial year.
4. Definitions
Data from criminal records relate to the offenses committed by the person and the convictions he / she was sentenced to.
Processing Controllers are persons or organizations that determine the purpose and manner of processing personal data. It is their duty to establish practices and rules that will be consistent with the General Data Protection Regulation. We are leaders in the processing of all personal data used in our business. Our suppliers, consultants and contractors may also be processing controllers.
Respondents related with the meaning of these Rules represent all living individuals whose personal data we have available, including current, past and potential clients, suppliers, agents, investors, and members of our staff. All respondents have legal rights regarding their personal data.
Personal data is data relating to a living individual whose identity can be ascertained from that information (or from this and other information we possess). Personal data may be facts (for example, name, address or date of birth) or opinions (such as performance appraisal). The definition of personal data in the General Data Protection Regulation and the applicable law on data protection is very broad and accordingly many personal identifiers can be classified as personal data. This includes name, identification number and location information.
Processing is any process that involves the use of personal data. It involves obtaining, using, viewing, accessing, recording or owning data, or performing a single action or set of actions concerning the data, including the organization, correction, retrieval, use, detection, deletion or destruction thereof. Processing also involves the transfer of personal information to third parties.
Special category data (previously known as sensitive personal data) includes information about a person’s racial or ethnic origin, political opinions, religious or similar beliefs, union membership, physical or mental health or condition and sex life, and genetic and biometric information for identification purposes individual.
5. Principles of the General Data Protection Regulation
Anyone who performs data processing must abide by the enforceable principles of good practice set out in the General Data Protection Regulation that Samsung will adhere to in the following ways:
• We will process personal information lawfully, fairly and transparently (see under
“Legality, fairness and transparency”).
• We will collect personal data for specific, explicit and lawful purposes and will not process it in a way that is inconsistent with that purpose (see under “limiting purposes and reducing the amount of data”).
• We will process personal data that are appropriate, relevant and limited to what is necessary in relation to the purposes for which they are processed (see under “purpose limitation and data reduction”).
• We will ensure that personal data is accurate and up to date; if the information is inaccurate, we will take every reasonable step to have it deleted or corrected without delay, taking into account the purposes for which it is processed (see “accuracy”).
• We will store personal information in a form that allows the identification of the individual to whom it relates only for as long as is necessary for the purposes for which the personal data is processed (see under “storage limit”).
• We will take appropriate technical or organizational measures to ensure the security of personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage (see under “integrity and confidentiality”).
The following provides additional information about each of these principles.
5.1. Legality, fairness and transparency
The purpose of the applicable law on the protection of personal data is not to prevent the processing of personal data, but to ensure that it is done fairly and without adversely affecting the rights of respondents.
The processing of personal data is lawful if one of the legal requirements for processing is fulfilled. These legal requirements include the following: the respondent expressly and freely gave consent to the processing; processing is prescribed by law; processing is necessary to execute the contract we entered into with the respondent; processing is necessary for the purposes of the legitimate interests of Samsung or the party to whom the information is disclosed (except where the interests or fundamental rights or freedoms of the individual are stronger than those interests). Before we begin processing personal data (for example, before collecting personal information from an individual), we consider the reasons for collecting information and why we need it. We also establish the legal basis that enables us to obtain and process data lawfully.
The law requires that the respondent receive certain information, including (but not limited to) the following: who is the processing manager (Samsung Electronics Austria GmbH, Zagreb Branch Office, Zagreb, Radnička cesta 37b, Republic of Croatia); the purposes for which we will process the data, the legal basis for the processing, the identity of the persons to whom the data may be disclosed or transferred, and the rights of the respondents regarding their personal data. This information must be contained in an appropriate data privacy notice or fair data processing statement.
5.2. Limiting the purpose and reducing the amount of the data
Personal data may only be processed for the specific purposes that the respondent was informed of when first collecting the data or for other purposes expressly permitted by applicable data protection law. This means that personal data should not be collected for one purpose and used for other purposes. If it is necessary to change the purpose for which the personal data are processed, the respondent must be informed of the new purpose before any processing begins.
5.3. Accuracy
Personal data must be accurate and up to date. Invalid or misleading data is incorrect, so steps must be taken to verify that all personal data is accurate at the time it is collected and at regular intervals thereafter. Inaccurate or up to date data must be destroyed.
5.4. Storage limit
Personal data should be kept in a form that does not allow the identification of the individual to whom it relates only for as long as necessary for the purposes for which the personal data are collected. This means that data must be destroyed or deleted from our system when it is no longer needed, and personal information must be hidden.
After the retention period has expired, records containing personal data will be safely removed and destroyed unless there is a legitimate business reason for retaining it and beyond this period (for example, the respondent initiated a dispute against us and the retained personal data is relevant to that dispute).
5.5. Integrity and confidentiality
We are obliged to take appropriate measures to protect against the unauthorized or unauthorized processing of personal data and against their accidental loss or damage. Respondents may initiate proceedings before the court for compensation for damages resulting from the loss of personal data.
Maintaining data security means ensuring the confidentiality, integrity and availability of personal information, which is defined as follows:
a) Confidentiality means that only those persons authorized to use it have access to personal data.
b) Completeness means that personal data must be accurate and appropriate for the purposes for which they are processed and reliable for their lifetime (that is, unauthorized persons may not modify this information).
c) Availability means that authorized users have access to the data if they need it for the approved purposes. Therefore, instead of individual PCs, personal data must be stored in our central computer system.
Security procedures include:
a) Entry controls. Reporting a stranger in the rooms with controlled entry.
b) Lockable tables and lockers. Locking tables and cabinets if confidential information of any kind is stored there. (Personal data is always considered confidential).
c) Destruction methods. Paper documents need to be cut. Floppy disks and compact discs (CD-ROMs) need to be physically destroyed when they are no longer needed.
d) The equipment. Samsung staff members are required to ensure that confidential information is not visible to passers-by on screens and to log out of a personal computer when left unattended.
Samsung adheres to all procedures and uses all available technology to preserve the security of all personal data from the time it is collected until it is destroyed. In practice, this means the following:
a) Only personally identifiable data may be accessed and for approved purposes only.
b) No other person (including other Samsung staff members) should be allowed to access personal data unless they have the appropriate permission to do so.
c) Personal data are protected, for example, by adhering to rules on access to premises, computer access, password protection and encryption, enabling secure storage and destruction of data and other security measures set out in Samsung’s data security policies.
d) Personal data (including personal data in files) or devices containing personal data (or devices that can be used to access personal data) are not retrieved from Samsung’s premises unless appropriate security measures are taken (for example, pseudonymization, encryption, or password protection) to protect data and devices.
e) Personal information is not stored on a local disk or personal device used for work purposes.
6. Special categories of personal data
Occasionally, we may need to process specific categories of personal information.
We will only process specific categories of personal data when we have a legal basis for doing so (see Section 5 of these Rules) and when one of the special conditions for processing special category data applies. Specific conditions include, but are not limited to:
a) Respondent gave explicit consent to the processing.
b) Processing is necessary for the purposes of exercising the rights and obligations of Samsung or respondents in the field of labor law.
c) Processing is necessary to protect the vital interests of the respondents and the respondent is physically incapable of giving consent.
d) Processing refers to information that is clearly published by the respondent.
e) Processing is necessary to establish, achieve or defend legal claims.
f) Processing is necessary for purposes of significant public interest.
Specific categories of personal data will not be processed:
a) until a collection impact assessment has been carried out and
b) until the data subject is adequately informed (by privacy statement or otherwise) of the nature of the processing, the purpose for which and the legal basis on which it is performed.
7. Sharing personal data (including transfer of data outside the EGP)
Personal data may only be transmitted to a third party as a service provider, who agrees to comply with the necessary rules and procedures and to comply with all relevant contractual provisions that we require, and who, upon request, agrees to take appropriate measures.
Personal data may only be shared with another member of our group’s staff (which includes our subsidiaries and our parent company together with its subsidiaries) only if the recipient is required to do the job and the transfer complies with the applicable cross-border transfer restrictions (see in continuation).
Data protection legislation restricts the transfer of data to countries outside the European Economic Area (“EEA”) in order not to jeopardize the required level of data protection.
Personal data originating in one country is transmitted across the border if it is provided, sent, accessed or accessed in another country. Prior to cross-border transfer of personal data, it will be checked that all the necessary conditions are met.
8. Profile creation and automated decision making
There are significant limitations to the circumstances in which an automated decision can be made about individuals (it is a decision made exclusively automated, without any human interference). This also applies to the creation of profiles (this is an automated processing of personal data to evaluate certain aspects relating to an individual, such as whether certain products would be interesting to an individual).
This type of decision-making is only possible for the purpose of executing the contract, when permitted by law or if the individual has given explicit consent to it. Individuals have the right to be informed about decision-making and have certain rights that they must be informed about, including the right to request human intervention or the right to challenge a decision, and for this type of decision-making there are also strict restrictions on the use of specific categories of personal information.
Each profile creation activity will be carried out in full compliance with the applicable legislation.
9. Direct marketing
There are strict data protection requirements regarding direct marketing that target our customers, and we follow all the guidelines that apply to us.
10. Keeping records
Importantly, we can prove that we adhere to the principles of data processing. When necessary, we maintain proper records of our handling of personal data. It may include records of the legal bases on which we process personal data, records of data sent to respondents, and records of our processing of personal data.
11. Respondents’ rights
Personal data is processed in accordance with the rights of respondents. Respondents have the following rights:
a) If they have given their consent to the processing, they may withdraw that consent at any time (this must be as simple as giving it).
b) They have the right to clear, transparent and easily understandable information about how their personal data is used (that is why we provide a privacy statement).
c) They have the right to request access to all data held by the processing manager relating to them.
d) They have the right to request that the incorrect data be amended and corrected.
e) They have the right to request the deletion of data relating to them and held by the processing manager if certain conditions defined by applicable law are fulfilled for this purpose.
f) They have the right to request restriction of processing where certain conditions defined by applicable law are fulfilled.
g) They have the right to request the transfer of data to another processing manager if certain conditions defined by applicable law are fulfilled.
h) They have the right to object to the processing of personal data if certain conditions defined by the applicable data protection law are fulfilled.
i) They have the right not to be subject to a decision based solely on automated processing, including the creation of a profile, which produces or has a substantially affecting legal effect on them, unless they have given express consent to do so, or if necessary to enter into or execute a contract with them.
j) They have the right to complain to the Personal Data Protection Agency regarding our processing of the data (contact information is provided below), although we would like to encourage the respondent to contact us first in case of any doubts, so that we can try to resolve the issue.
If the respondent wishes to exercise any of his rights, he should contact the Data Protection Officer. Appropriate steps may need to be taken to establish the identity of the applicant.
The official request of the respondent (applicant) for access to personal data relating to him / her and held by the Zagreb Branch Office of Samsung Electronics Austria GmbH may be given in writing using the form in Annex 2 (Respondent’s Request for Access to Personal Data). However, the respondent’s request for access to personal data does not necessarily have to be official, nor does it have to be made in writing (access to personal data can be requested on social networks or by telephone). Any staff member who receives a request for access to personal data (whether it is submitted on an accessible form or not) will immediately forward the request to the Data Protection Officer and / or the Legal and Compliance Officer.
Except in exceptional cases, the Data Protection Officer will respond to the request within 30 days of receipt. If Samsung is unable to provide the requested personal data, the reasons for this will be fully documented and the respondent will be informed in writing. The respondent will also be provided with information on the competent supervisory authority to which the complaint can be lodged, in accordance with the requirements of the applicable data protection law.
12. Personal data breach
A personal data breach is a breach of security that results in the accidental or unlawful destruction, loss, alteration, unauthorized disclosure or access to personal data that has been transferred, stored or otherwise processed. A breach does not necessarily imply disclosure of personal data to an outside source without the necessary permission but may mean that someone has accessed that data from the inside without the necessary permission.
We are obliged to report some forms of violation to the competent regulatory authority, and in a limited number of cases, to the respondents themselves.
We will notify the European Security Headquarters of Samsung, the Data Protection Officer of Samsung Electronics Austria GmbH of the Zagreb Branch Office and / or the Legal and Compliance Office, without delay, for any personal data breach or suspected breach, so that they can take the necessary steps or, if necessary, forward case further.
13. Permission to access data
Access to data collected and / or used by Samsung Electronics Austria GmbH, Zagreb Branch Office is granted to the following persons only:
– Personal customer data collected through web sites created for specific marketing purposes:
• To legal representatives of Samsung Electronics Austria GmbH Zagreb Branch
• Marketing professionals whose job responsibilities include handling personal data collected for specific marketing purposes
14. Rules Update
The HR, Legal and Compliance departments are responsible for maintaining, regularly reviewing and updating these Rules. You will be notified of updates and changes to these Policies via message board and / or email.
15. Useful contact information
You can contact the following address regarding data protection: Samsung Electronics Austria GmbH, Zagreb Branch Office, Radnička cesta 37b, Zagreb, Republic of Croatia
E-mail address: Contact us at dataprotection.sead@samsung.com
Stupa na snagu: svibanj 2018.
U tvrtki Samsung Electronics Austria GmbH, našoj podružnici u Zagrebu i našim povezanim društvima („Samsung“, „mi“, „nas“, „naš“) znamo koliko je privatnost važna našim zaposlenicima, dobavljačima, klijentima i svima drugima s kojima surađujemo, pa se trudimo biti jasni u vezi s tim kako prikupljamo, koristimo, otkrivamo, prenosimo i pohranjujemo osobne podatke.
U nastavku slijede glavna pitanja koja su obuhvaćena našim Pravilima o privatnosti.
1. Područje primjene i svrha
2. Odgovornost za usklađenost
3. Naša odgovornost
4. Definicije
5. Načela Opće uredbe o zaštiti podataka
6. Posebne kategorije osobnih podataka
7. Dijeljenje osobnih podataka (uključujući prijenos podataka izvan EGP-a)
8. Izrada profila i automatizirano donošenje odluka
9. Izravni marketing
10. Vođenje evidencije
11. Prava ispitanika
12. Povreda osobnih podataka
13. Ažuriranje Pravila
14. Korisni podaci za kontakt
1. Područje primjene i svrha
Ovim dokumentom utvrđuju se pravila zaštite podataka i zakonski uvjeti koje je potrebno ispuniti, a koji se odnose na dobivanje, postupanje, obradu, pohranu, prijenos i uništavanje osobnih podataka.
Vrste podatka koje ćemo možda obrađivati uključuju detalje o sadašnjim, prošlim i potencijalnim budućim članovima osoblja, dobavljačima, klijentima i svima onima s kojima komuniciramo. Podaci koji se čuvaju na papiru, računalu ili nekom drugom mediju podliježu pravnim zaštitnim mjerama utvrđenima u Općoj uredbi o zaštiti podataka („GDPR“) i mjerodavnom pravu za zaštitu podataka kojima se nameću ograničenja načina na koje smijemo koristiti spomenute podatke.
Održavanje najviših standarda u našem postupanju s osobnim podacima kolektivna je i individualna odgovornost te se ova Pravila primjenjuju na načine dobivanja, korištenja, pohrane, brisanja i drugih oblika obrade osobnih podataka s kojima se susrećemo u našem poslovanju. Ona uključuju opširni sažetak glavnih obveza zaštite podataka koja se primjenjuju na nas kao organizaciju.
Ova Pravila o privatnosti primjenjuju se na sve Samsungove zaposlenike i druge pružatelje usluga Samsungu (uključujući, ali se ne ograničavajući na izvođače radova i agencijske radnike) (zajednički „članovi osoblja“). Svi članovi osoblja dužni su se pobrinuti da razumiju i pridržavati se ovih Pravila u pogledu bilo kakvih osobnih podataka kojima imaju pristup u svom radu.
Članovi osoblja također će biti dužni pohađati obuku u vezi s ovim i srodnim pravilima na zahtjev Samsunga.
2. Odgovornost za usklađenost
Za nadgledanje provođenja zaštite podataka i poštivanja ovih Pravila odgovoran je službenik za zaštitu podataka čiji se podaci za kontakt nalaze na kraju ovih Pravila.
Osobe na rukovodećim pozicijama odgovorne su za to da članovi njihovih timova poštuju pravila zaštite podataka.
3. Naša odgovornost
Općom uredbom o zaštiti podataka predviđaju se visoke novčane kazne za organizacije koje krše njezine odredbe. Ovisno o vrsti povrede, organizacije bi mogle platiti kaznu u iznosu do 20 milijuna eura, odnosno 4% ukupnog godišnjeg prometa na svjetskoj razini za prošlu financijsku godinu.
4. Definicije
Podaci iz kaznenih evidencija odnose se na kaznena djela koje je osoba počinila i osude koje su joj izrečene.
Voditelji obrade su osobe ili organizacije koje određuju svrhu i način obrade osobnih podataka. Njihova je dužnost utvrditi prakse i pravila koja će biti u skladu s Općom uredbom o zaštiti podataka. Mi smo voditelji obrade svih osobnih podataka koji se koriste u našem poslovanju. Naši dobavljači, savjetnici i izvođači radova također mogu biti voditelji obrade.
Ispitanici u smislu ovih Pravila podrazumijevaju sve živuće pojedince čijim osobnim podacima raspolažemo, uključujući sadašnje, prošle i potencijalne klijente, dobavljače, agente, ulagače te članove našeg osoblja. Svi ispitanici imaju zakonska prava u pogledu svojih osobnih podataka.
Osobni podaci su podaci koji se odnose na živućeg pojedinca čiji se identitet može utvrditi na temelju tih podataka (ili na temelju tih i drugih podataka koje posjedujemo). Osobni podaci mogu biti činjenice (primjerice, ime, adresa ili datum rođenja) ili mišljenja (primjerice procjena radnog učinka). Definicija osobnih podataka u Općoj uredbi o zaštiti podataka i mjerodavnom pravu za zaštitu podataka vrlo je široka, pa je u skladu s time pod osobne podatke moguće svrstati jako puno identifikatora. Ovo uključuje ime, identifikacijski broj i podatke o lokaciji.
Obrada je bilo koji postupak koji uključuje upotrebu osobnih podataka. Uključuje dobivanje, korištenje, pregled, pristup, bilježenje ili posjedovanje podataka ili obavljanje jedne radnje ili skupa radnji u vezi s podacima, uključujući njihovu organizaciju, ispravljanje, pronalaženje, upotrebu, otkrivanje, brisanje ili uništavanje. Obrada također podrazumijeva prijenos osobnih podataka trećim osobama.
Podaci posebnih kategorija (prethodno znani kao osjetljivi osobni podaci) uključuju podatke o rasnom ili etničkom podrijetlu osobe, njezinim političkim mišljenjima, vjerskim ili sličnim uvjerenjima, članstvu u sindikatu, fizičkom ili mentalnom zdravlju ili stanju i spolnom životu te genetske i biometrijske podatke u svrhu identifikacije pojedinca.
5. Načela Opće uredbe o zaštiti podataka
Svatko tko vrši obradu podataka mora poštivati provediva načela dobre prakse utvrđena u Općoj uredbi o zaštiti podataka kojih će se Samsung pridržavati na sljedeće načine:
• Osobne ćemo podatke obrađivati zakonito, pošteno i transparentno (vidjeti pod „zakonitost, poštenost i transparentnost”).
• Osobne ćemo podatke prikupljati u posebne, izričite i zakonite svrhe te ih nećemo obrađivati na način koji nije u skladu s tim svrhama (vidjeti pod „ograničavanje svrhe i smanjenje količine podataka“).
• Obrađivat ćemo osobne podatke koji su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (vidjeti pod „ograničavanje svrhe i smanjenje količine podataka“).
• Pobrinut ćemo se da osobni podaci budu točni i prema potrebi ažurni; ako su podaci netočni, poduzet ćemo svaku razumnu mjeru kako bi oni bili bez odlaganja izbrisani ili ispravljeni, uzimajući u obzir svrhe u koje se ti podaci obrađuju (vidjeti pod „točnost“).
• Osobne ćemo podatke čuvati u onom obliku koji omogućuje identifikaciju pojedinca na kojeg se oni odnose samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (vidjeti pod „ograničenje pohrane“).
• Primjenjivat ćemo odgovarajuće tehničke ili organizacijske mjere kojima se osigurava sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja (vidjeti pod „cjelovitost i povjerljivost”).
U nastavku slijede dodatne informacije o svakom od ovih načela.
5.1. Zakonitost, poštenost i transparentnost
Cilj mjerodavnog prava o zaštiti osobnih podataka nije spriječiti obradu osobnih podataka, već osigurati da se to čini pošteno i bez negativnog učinka na prava ispitanika.
Obrada osobnih podataka zakonita je ako je ispunjen jedan od zakonskih uvjeta obrade. Ovi zakonski uvjeti uključuju sljedeće: ispitanik je izričito i slobodno dao privolu za obradu; obrada je propisana zakonom; obrada je nužna za izvršavanje ugovora koji smo sklopili s ispitanikom; obrada je nužna za potrebe zakonitih interesa Samsunga ili strane kojoj su podaci otkriveni (osim kada su od tih interesa jači interesi ili temeljna prava ili slobode pojedinca). Prije početka obrade osobnih podataka (primjerice, prije prikupljanja osobnih podataka od pojedinca) razmatramo razloge za prikupljanje podataka i zašto su nam oni potrebni. Također utvrđujemo pravnu osnovu koja nam omogućuje zakonito dobivanje i obradu podataka.
Ispitaniku je, u skladu sa zakonom, potrebno dostaviti određene informacije, uključujući (ali ne se ograničavajući na) sljedeće: tko je voditelj obrade (u ovom slučaju to smo mi, Samsung Electronics Austria GmbH, Podružnica Zagreb, Zagreb, Radnička cesta 37b, Republika Hrvatska); svrhe radi kojih ćemo obrađivati podatke, pravnu osnovu za obradu, identitet osoba kojima podaci mogu biti otkriveni ili preneseni i prava ispitanika u vezi s njihovim osobnim podacima. Ove informacije moraju biti sadržane u odgovarajućoj obavijesti o privatnosti podataka ili izjavi o poštenoj obradi podataka.
5.2. Ograničavanje svrhe i smanjenje količine podataka
Osobni podaci mogu se obrađivati samo radi određenih svrha o kojima je ispitanik bio obaviješten prilikom prvog prikupljanja podataka ili u druge svrhe koje su izričito dopuštene
mjerodavnim pravom o zaštiti podataka. To znači da se osobni podaci ne smiju prikupljati u jedne, a koristiti u druge svrhe. Ako je potrebno promijeniti svrhu radi koje se osobni podaci obrađuju, ispitanik mora biti obaviješten o novoj svrsi prije početka bilo kakve obrade.
5.3. Točnost
Osobni podaci moraju biti točni i ažurni. Neispravni podaci ili podaci koji dovode u zabludu nisu točni, pa je stoga potrebno poduzeti korake u svrhu provjere točnosti svih osobnih podataka u trenutku njihova prikupljanja te nakon toga u redovitim vremenskim razmacima. Netočne ili neažurne podatke potrebno je uništiti.
5.4. Ograničenje pohrane
Osobne podatke potrebno je čuvati u obliku koji ne omogućuje identifikaciju pojedinca na kojeg se oni odnose samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci prikupljaju. To znači da je podatke potrebno uništiti ili izbrisati iz našeg sustava kad oni više nisu potrebni, a osobne podatke potrebno je sakriti.
Nakon isteka razdoblja čuvanja, evidencija koja sadrži osobne podatke bit će uklonjena na siguran način i uništena, osim u slučaju kada postoji opravdan poslovni razlog za njezino zadržavanje i nakon ovog razdoblja (primjerice, ispitanik je pokrenuo spor protiv nas i zadržani osobni podaci relevantni su za taj spor).
5.5. Cjelovitost i povjerljivost
Dužni smo poduzeti odgovarajuće mjere zaštite protiv nezakonite ili neovlaštene obrade osobnih podataka te protiv njihova slučajnog gubitka ili oštećenja. Ispitanici mogu pred sudom pokrenuti postupak za dobivanje naknade za štetu nastalu uslijed gubitka osobnih podataka.
Očuvanje sigurnosti podataka podrazumijeva osiguravanje povjerljivosti, cjelovitosti i dostupnosti osobnih podataka koje se definiraju kako slijedi:
a) Povjerljivost znači da pristup osobnim podacima imaju samo one osobe koje su ovlaštene za njihovo korištenje.
b) Cjelovitost znači da osobni podaci moraju biti točni i prikladni za svrhe u koje se obrađuju te pouzdani za svog vijeka trajanja (odnosno, neovlaštene osobe ne smiju izmijeniti te podatke).
c) Dostupnost znači da ovlašteni korisnici imaju mogućnost pristupa podacima ako su im oni neophodni za odobrene svrhe. Stoga je osobne podatke, umjesto na pojedinim osobnim računalima, potrebno pohranjivati u našem središnjem računalnom sustavu.
Sigurnosni postupci uključuju:
a) Kontrole pri ulazu. Prijavljivanje neznanca u prostorijama s kontroliranim ulazom.
b) Sigurne stolove i ormare na zaključavanje. Zaključavanje stolova i ormara ako se u njima čuvaju povjerljive informacije bilo koje vrste. (Osobni podaci uvijek se smatraju povjerljivima).
c) Načine uništavanja. Papirnate dokumente potrebno je izrezati. Diskete i kompaktne diskove samo za čitanje (CD-ROM) potrebno je fizički uništiti onda kada oni više nisu potrebni.
d) Opremu. Samsungovi članovi osoblja dužni su osigurati da povjerljive informacije prolaznicima nisu vidljive na zaslonima te se odjaviti s osobnog računala kad ga ostavljaju bez nadzora.
Samsung se pridržava svih postupaka i koristi sve raspoložive tehnologije kako bi se očuvala sigurnost svih osobnih podataka od trenutka njihova prikupljanja pa sve do njihova uništenja. U praksi to znači sljedeće:
a) Može se pristupiti samo onim osobnim podacima za koje postoji dopuštenje te samo u odobrene svrhe.
b) Niti jednoj drugoj osobi (uključujući i druge Samsungove članove osoblja) ne smije se omogućiti pristup osobnim podacima, osim ako imaju odgovarajuće dopuštenje za to.
c) osobni podaci se štite primjerice poštivanjem pravila o pristupu prostorijama, pristupu računalu, zaštitom pomoću lozinke i enkripcijom, omogućavanjem sigurne pohrane podataka i njihovog uništavanja, te drugim mjerama sigurnosti utvrđenim u Samsungovim pravilima o sigurnosti podataka.
d) Osobne podatke (uključujući i osobne podatke u spisima) ili uređaje koji sadrže osobne podatke (ili uređaje koje je moguće upotrijebiti kako bi se pristupilo osobnim podacima) ne iznosi se iz Samsungovih prostorija, osim ako su poduzete odgovarajuće mjere sigurnosti (primjerice, pseudonomizacija, enkripcija ili zaštita lozinkom) radi zaštite podataka i uređaja.
e) Osobne podatke se ne pohranjuje na lokalnom disku ili osobnom uređaju koji se upotrebljavaju u radne svrhe.
f)
6. Posebne kategorije osobnih podataka
Povremeno ćemo možda morati obrađivati posebne kategorije osobnih podataka.
Posebne kategorije osobnih podataka obrađivat ćemo samo onda kada za to imamo pravnu osnovu (vidjeti u Odjeljku 5 ovih Pravila) i kada se primjenjuje jedan od posebnih uvjeta za obradu podataka posebnih kategorija. Posebni uvjeti uključuju, ali se ne ograničavaju na sljedeće:
a) Ispitanik je dao izričitu privolu za obradu.
b) Obrada je nužna za potrebe ostvarivanja prava i izvršavanja obveza Samsunga ili ispitanika u području radnog prava.
c) Obrada je nužna za zaštitu životno važnih interesa ispitanika, a ispitanik je fizički nesposoban dati privolu.
d) Obrada se odnosi na podatke za koje je očito da ih je objavio ispitanik.
e) Obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva.
f) Obrada je nužna za potrebe od značajnog javnog interesa.
Posebne kategorije osobnih podataka neće se obrađivati:
a) sve dok se ne provede procjena učinka prikupljanja i
b) dok se osobu na koju se odnose osobni podaci na prikladan način ne obavijesti (izjavom o zaštiti privatnosti ili na drugi način) o prirodi obrade, svrha radi kojih i pravne osnove na temelju koje se ona vrši.
7. Dijeljenje osobnih podataka (uključujući prijenos podataka izvan EGP-a)
Osobni podaci mogu se prenositi samo trećoj strani kao pružatelju usluga koja pristaje pridržavati se potrebnih pravila i postupaka i ispunjavati sve relevantne ugovorne odredbe koje od nje zahtijevamo te koja na zahtjev pristaje na provedbu odgovarajućih mjera.
Osobni podaci mogu se podijeliti s drugim članom osoblja naše grupe (koja uključuje naša društva kćeri i naše nadređeno društvo skupa s njegovim društvima kćerima) samo ako su primatelju takvi podaci neophodni za potrebe posla, a prijenos je u skladu s primjenjivim ograničenjima prekograničnog prijenosa (vidjeti u nastavku).
Zakonodavstvo o zaštiti podataka ograničava prijenos podataka u zemlje izvan Europskog gospodarskog prostora („EGP”) kako se ne bi ugrozilo traženu razinu zaštite podataka.
Osobni podaci koji potječu iz jedne zemlje prenose se preko granice ako ih se dostavlja, šalje, vrši uvid u njih ili im se pristupa u nekoj drugoj zemlji. Prije prekograničnog prijenosa osobnih podataka provjerit će se jesu li za to zadovoljeni svi potrebni uvjeti.
8. Izrada profila i automatizirano donošenje odluka
Postoje značajna ograničenja u pogledu okolnosti u kojima je moguće donijeti automatiziranu odluku o pojedincima (radi se o odluci koja se donosi isključivo automatizirano, bez ikakvog uplitanja čovjeka). Ovo vrijedi i za izradu profila (radi se o automatiziranoj obradi osobnih podataka za ocjenu određenih aspekata u vezi s pojedincem, primjerice bi li pojedincu bili zanimljivi određeni proizvodi).
Ova vrsta odlučivanja moguća je samo radi izvršavanja ugovora, onda kada je to dopušteno zakonom ili ako je pojedinac na to dao izričitu privolu. Pojedinci imaju pravo na informacije o donošenju odluka te imaju određena prava o kojima moraju biti obaviješteni, uključujući pravo na zahtijevanje ljudske intervencije ili pravo na osporavanje odluke, a za ovu vrstu odlučivanja također postoje stroga ograničenja u vezi s korištenjem posebnih kategorija osobnih podataka.
Svaka aktivnost izrade profila bit će provedena potpuno u skladu s mjerodavnim zakonodavstvom.
9. Izravni marketing
Postoje strogi zahtjevi zaštite podataka u vezi s izravnim marketingom koji je usmjeren na naše klijente te pritom slijedimo sve smjernice koje se odnose na nas.
10. Vođenje evidencije
Važno je da možemo dokazati da se pridržavamo načela obrade podataka. Onda kada je to potrebno, vodimo odgovarajuću evidenciju o našem postupanju s osobnim podacima. Ona može uključivati evidenciju o pravnim osnovama na temelju kojih obrađujemo osobne podatke, evidenciju o podacima poslanima ispitanicima i evidenciju o našoj obradi osobnih podataka.
11. Prava ispitanika
Osobni se podaci obrađuju u skladu s pravima ispitanika. Ispitanici imaju sljedeća prava:
a) Ako su dali privolu na obradu, oni mogu u bilo kojem trenutku povući tu privolu (ovo mora biti jednako jednostavno kao i njezino davanje).
b) Imaju pravo na jasne, transparentne i lako razumljive informacije o načinima upotrebe njihovih osobnih podataka (upravo zbog toga i pružamo izjavu o privatnosti podataka).
c) Imaju pravo zatražiti pristup svim podacima u posjedu voditelja obrade koji se odnose na njih.
d) Imaju pravo zatražiti da se netočni podaci izmijene i isprave.
e) Imaju pravo zahtijevati brisanje podataka koji se odnose na njih a koji se nalaze u posjedu voditelja obrade ako su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom.
f) Imaju pravo zahtijevati ograničavanje obrade u slučajevima kada su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom.
g) Imaju pravo zahtijevati prijenos podataka drugom voditelju obrade ako su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom.
h) Imaju pravo uložiti prigovor na obradu osobnih podataka ako su za to ispunjeni određeni uvjeti utvrđeni primjenjivim pravom o zaštiti podataka.
i) Imaju pravo da se na njih ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se odnose na njih ili na sličan način značajno na njih utječe, osim ako su dali izričitu privolu za to ili ako je to neophodno za sklapanje ili izvršavanje ugovora s njima.
j) Imaju pravo na pritužbu Agenciji za zaštitu osobnih podataka u vezi s našom obradom podataka (podaci za kontakt nalaze se u nastavku), iako bismo voljeli potaknuti ispitanika da se u slučaju bilo kakvih nedoumica najprije obrati nama kako bismo mi pokušali riješiti problem.
Ako ispitanik želi ostvariti neko od svojih prava, treba se obratiti Službeniku za zaštitu podataka. Možda će biti potrebno poduzeti odgovarajuće korake radi utvrđivanja identiteta osobe koja podnosi zahtjev.
Službeni zahtjev ispitanika (podnositelja zahtjeva) za pristup osobnim podacima koji se odnose na njega i koji se nalaze u posjedu zagrebačke podružnice tvrtke Samsung Electronics Austria GmbH može se podnijeti u pisanom obliku putem obrasca u Prilogu 2 (obrazac Zahtjeva ispitanika za pristup osobnim podacima). Međutim, zahtjev ispitanika za pristup osobnim podacima ne mora nužno biti služben niti on mora biti podnijet u pisanom obliku (pristup osobnim podacima moguće je zatražiti na društvenim mrežama ili telefonski). Svaki član osoblja koji zaprimi zahtjev za pristup osobnim podacima (bez obzira na to je li on podnijet na dostupnom obrascu ili ne) bez odlaganja će proslijediti zahtjev službeniku za zaštitu podataka i/ili pravnoj službi i službi za praćenje usklađenosti.
Službenik za zaštitu podataka će, osim u iznimnim slučajevima, odgovoriti na zahtjev u roku od 30 dana od njegova primitka. Ako Samsung ne može pružiti zatražene osobne podatke, razlozi za to bit će potpuno dokumentirani te će ispitanik biti obaviješten o njima u pisanom obliku. Ispitaniku će također biti dostavljeni podaci o nadležnom nadzornom tijelu kojem je moguće podnijeti pritužbu, u skladu sa zahtjevima mjerodavnog prava o zaštiti podataka.
12. Povreda osobnih podataka
Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. Povreda ne mora nužno podrazumijevati otkrivanje osobnih podataka vanjskom izvoru bez potrebnog dopuštenja, ali može značiti da je netko iznutra pristupio tim podacima bez potrebnog dopuštenja.
Neke oblike povrede dužni smo prijaviti nadležnom regulatornom tijelu, a u ograničenom broju slučajeva i samim ispitanicima.
O povredi osobnih podataka ili sumnji na povredu bez odlaganja ćemo obavijestiti Službu za sigurnost europskog sjedišta Samsunga, službenika za zaštitu podataka Samsung Electronics Austria GmbH Podružnice Zagreb i/ili pravnu službu i službu za praćenje usklađenosti kako bi oni mogli poduzeti neophodne mjere ili po potrebi proslijediti slučaj dalje.
13. Odobrenje za pristup podacima
Pristup podacima koje prikuplja i/ili koristi Samsung Electronics Austria GmbH, Podružnica Zagreb odobrava se samo sljedećim osobama:
– Osobni podaci o klijentima prikupljeni putem mrežnih stranica izrađenih radi određenih marketinških svrha:
• Pravnim zastupnicima Samsung Electronics Austria GmbH Podružnice Zagreb
• Djelatnicima marketinga čiji radni zadaci uključuju postupanje s osobnim podacima prikupljenima u određene marketinške svrhe
14. Ažuriranje Pravila
Odjel za ljudske resurse, pravna služba i služba za praćenje usklađenosti zaduženi su za održavanje, redovit pregled i ažuriranje ovih Pravila. O ažuriranju i izmjenama ovih Pravila bit ćete obaviješteni putem oglasne ploče i/ili elektroničkom poštom.
15. Korisni podaci za kontakt
U vezi sa zaštitom podataka možete se obratiti na sljedeću adresu: Samsung Electronics Austria GmbH, Podružnica Zagreb
Radnička cesta 37b, Zagreb, Republika Hrvatska
Adresa e-pošte: Obratite nam se na dataprotection.sead@samsung.com