Politika privatnosti & zaštita podataka
Zadnja promjena: Ožujak, 2021.
Hvala Vam na posjeti naše Web stranice i interesu za naše usluge. NTH uzima zaštitu osobnih podataka kao pitanje od velike važnosti te postupa s njima u skladu s time. Ova Politika privatnosti namijenjena je pružanju informacija posjetiteljima web stranice o tome koji se osobni podaci prikupljaju prilikom posjete istoj, kako se obrađuju te koje se mjere poduzimaju u svrhu njihove zaštite.
Svi pojmovi koji se koriste u ovoj Politici privatnosti imaju značenje istovjetno značenjima iz Uredbe (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka).
- Voditelj obrade osobnih podataka
Voditelj obrade osobnih podataka: NTH Mobile d.o.o.
Adresa: Međimurska 28, Varaždin, Hrvatska
E-mail: info@nth.ch
Kao voditelj obrade osobnih podataka u vezi s ovom web stranicom, obvezni smo obavijestiti Vas o svrhama prikupljanja Vaših osobnih podataka. Prilikom posjete našoj web stranici dobrovoljno nam dostavljate neke od podataka u skladu sa svrhama opisanima niže u ovoj Politici privatnosti.
- Pitanja u vezi sa zaštitom osobnih podataka
Ukoliko imate bilo kakvih pitanja koji se odnose na obradu ili zaštitu Vaših osobnih podataka slobodno nas kontaktirajte na e-mail: dataprotection@nth.ch
Sve dane privole možete povući u bilo kojem trenutku slanjem zahtjeva na e-mail: dataprotection@nth.ch
- Zašto i na kojem temelju obrađujemo Vaše podatke
Posjeta našoj web stranici
Prilikom posjete naše stranice koristimo usluge trećih strana, kao što je Google Analytics, kako bismo prikupili standardne podatke iz internetskog dnevnika i detalje o obrascima ponašanja posjetitelja. To činimo kako bismo saznali podatke poput broja posjetitelja različitih dijelova web mjesta. Ti se podaci obrađuju samo na način koji nikoga ne identificira. Ne činimo i ne dopuštamo Googleu da čini bilo kakvo otkrivanje identiteta posjetitelja naše web stranice. Također koristimo LinkedIn Analytics. Dodatne informacije potražite u odgovarajućoj obavijesti o privatnosti.
Kada pregledavate našu web stranicu, automatski postavljamo potrebne kolačiće na vaš preglednik. Možete prihvatiti oglašivačke ili analitičke kolačiće. Podaci koje prikupljamo pomažu nam u održavanju i poboljšanju naše web stranice i poslovanja. Obično uključuje vašu IP adresu, vrstu preglednika, stranice koje ste posjetili i redoslijed kojim ste ih posjetili, kao i jeste li novi ili ponovni posjetitelj. Za više informacija pročitajte naša pravila o kolačićima
Posjeta našim društvenim mrežama
NTH koristi određene društvene mreže. Ukoliko nas kontaktirate putem neke od naših društvenih mreža, čuvat ćemo Vaše podatke i koristiti ih u skladu s ovom Politikom privatnosti.
Prisutni smo na sljedećim društvenim mrežama:
Linkedin: https://www.linkedin.com/company/nth-business-messaging/
Upiti o poslovnoj suradnji ili uslugama koje pružamo
Kada nas kontaktirate u vezi s našim uslugama, koristimo sljedeće kontakt podatke:
- Ime i prezime
- E-mail adresu
- Broj telefona/mobitela
Navedene podatke koristimo u svrhu provođenja radnji koje prethode sklapanju ugovora i kasnije sklapanju ugovora te također obrada navedenih podataka predstavlja za nas legitimni interes u smislu razvijanja poslovnih odnosa i moguće poslovne suradnje. Vaše podatke čuvat ćemo tri godine od dana kada smo ih zaprimili. U slučaju sklapanja ugovora između Vas i NTH, obvezni smo po zakonu čuvati Vaše podatke i dulji period.
Prijave za radna mjesta, studentski rad ili pripravništva
U slučaju da ste zainteresirani za rad ili pripravništvo u našem trgovačkom društvu, tijekom selekcijskog postupka, ovisno o njegovoj fazi, možemo obrađivati sljedeće podatke:
- Ime i prezime
- E-mail adresu
- Broj telefona
- Vaš životopis
- Rezultati testiranja
Ako nema otvorenih natječaja, Vašu otvorenu molbu molimo dostavite na posao@nth.ch. Navedeni podatci će biti prikupljeni na temelju našeg legitimnog interesa za pronalaskom novih radnika također i na temelju činjenica da su navedeno radnje koje prethode sklapanju ugovora odnosno do njega dovode.
Vaše podatke pohranit ćemo na rok od dvije godine od dana predaje na temelju Vaše privole nakon čega će oni biti obrisani. Ukoliko niste suglasni da se podaci čuvaju nakon Vaše prijave ili selekcijskog postupka molimo Vas da nas o tome obavijestite.
U slučaju sklapanja ugovora, podaci će se čuvati u skladu sa zakonom propisanim rokovima čuvanja.
- Tko ima pristup Vašim podacima
Samo ovlašteni zaposlenici imaju pristup Vašim podacima i isključivo u svrhu izvršavanja svojih zadataka. NTH neće prosljeđivati Vaše podatke trećim stranama niti im dopustiti pristup Vašim podacima osim ako drugačije nije navedeno u ovoj Politici ili na temelju na zakonu utemeljenog zahtjeva nadležnog državnog tijela.
- Gdje i kako čuvamo Vaše podatke
Svi podaci koje prikupljamo nalaze se na našoj internoj informatičkoj infrastrukturi koja je zaštićena na odgovarajući način od svih rizika po najvišim standardima.
- Vaša prava
Temeljem Uredbe (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) i Zakona o provedi iste imate sljedeća prava:
- Pravo na informaciju o Vašim podacima koje naše društvo obrađuje;
- Pravo na pristup osobnim podacima;
- Pravo na ispravak osobnih podataka;
- Pravo na brisanje osobnih podataka („Pravo na zaborav“), u skladu sa zakonom;
- Pravo na ograničenje obrade osobnih podataka;
- Pravo na prenosivost podataka;
- Pravo na prigovor putem e-mail: dataprotection@nth.ch
- Tehničke i organizacijske mjere sigurnosti
Kontrolni cilj | Mjere |
(1)
Kontrola pristupa Sljedeće mjere koriste se kako bi se neovlaštenim osobama spriječio fizički pristup infrastrukturi poslužitelja za obradu podataka, te konkretno za legitimiranje ovlaštenih osoba. | • Podatkovni centar odvojen je od drugih lakše dostupnih područja • Pristup omogućen samo za ovlaštene djelatnike (u pravilu pristup nije dopušten) • Biometrijski sustav kontrole pristupa putem podataka za pristup • Alarmni sustav i sustav zaključavanja šifrom • 24-satne sigurnosne usluge s povezanim alarmnim sustavom • Video nadzor (vanjski, za sva vrata, i za prolaze) • Zasebna spremišta s mogućnošću korištenja zasebnih brava ili ključeva • Za spremanje prostora zaduženi su isključivo ovlašteni zaposlenici |
(2) Kontrola
pristupa (korisnička kontrola) Potrebno je neovlaštenim osoba onemogućiti korištenje sustava za obradu podataka. | • Korištenje vatrozida i sustava za otkrivanje neovlaštenih pristupa • Pristup sustavima za obradu podataka putem SSH i web sučelja za administrativne svrhe (npr. održavanje infrastrukture i sustava) omogućen je jedino uskom krugu internih administratora. Za te potrebe koriste se isključivo šifrirani komunikacijski kanali. Veza se uspostavlja putem VPN-a, TLS-a i LDAP-a • Autentifikacija se uvijek vrši putem korisničkog imena i lozinke, u skladu s internom politikom lozinke) • Identifikacija korisnika potvrđuje se putem osobnih podataka za prijavu. Dijeljenje ovih podataka s drugim osobama je zabranjeno. • Sigurno upravljanje lozinkama, odnosno, upotreba softvera za središnju administraciju uređaja s enkripcijom • U hitnim slučajevima (ukoliko uobičajena provjera autentičnosti korisnika ne radi ispravno) administratori sustava mogu pristupiti poslužiteljima kao korijenski korisnici (root account) . Korištenje korijenske prijave se evidentira |
(3) Kontrola pristupa i pohrane Osobama ovlaštenima za korištenje sustava mora se osigurati pristup za obradu podataka isključivo putem onih podataka koji su nužni za obavljanje njihovih zadataka, te onih koji podliježu njihovoj autorizaciji za pristup. Također, potrebno je osigurati da se podaci o korisnicima (uključujući osobne podatke) obrađuju i koriste, te da se nakon toga onemogući neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje. | • Zaštita od neovlaštenog unutarnjeg i vanjskog pristupa putem vatrozida, korištenje procesa provjere autentičnosti i enkripcije. • Sigurna dodjela lozinki u skladu s internom politikom lozinki. Ovisno o sustavu ili aplikaciji, redovno se provodi promjena lozinke i automatsko blokiranje • Zabrana izdavanja privilegiranog administrativnog pristupa u administrativne svrhe klijentima/kupcima ili vanjskim stranama • Eksterna prava pristupa sustavima i aplikacijama dodjeljuju se po potrebi isključivo subjektima autorizacije pristupa za potrebe izrade korisničkih profila i dodjele korisničkih prava. Ona moraju biti ugovorena ili barem evidentirana u servisnom projektu, prema konceptu ovlaštenja • Ovlaštenje dodjeljuje isključivo osoba odgovorna za uslugu/aplikaciju, osim ako nije drugačije utvrđeno u konceptu autorizacije za određenu uslugu ili aplikaciju. Količina administratora uvijek se svodi na samo one najnužnije. Dodjela dodatnih prava pristupa na zahtjev klijenta i kupca mora biti izvršena u pisanom obliku • Na razini sustava, svi se pristupi uvijek bilježe prema zadanim postavkama. U slučaju posebno osjetljivih podataka, ako je to propisano zakonom ili na zahtjev klijenta ili kupca, pristup se evidentira i na razini aplikacije (unos, izmjena i brisanje, te pozivanje podataka) • Sigurno skladištenje i uklanjanje nosača podataka |
(4) Kontrola odvajanja Obavezno je omogućiti zasebnu obradu podataka prikupljenih za različite svrhe. | • Fizičko odvajanje funkcionalnih i svrsishodnih različitih sustava, baze podataka i nositelja podataka • Definirani procesi gdje i kako se sustavi, usluge ili aplikacije instaliraju, isporučuju i upravljaju, prema konceptu autorizacije na razini tvrtke • Odvajanje proizvodnog i testnog okruženja • Funkcionalno i logičko odvajanje klijenata • Definiranje prava baze podataka |
(5) Kontrola distribucije (kontrola diska, kontrola transporta i kontrola otkrivanja podataka) Obavezno je osigurati da se podaci o kupcima (uključujući osobne podatke) ne mogu neovlašteno čitati, kopirati, mijenjati ili uklanjati tijekom elektroničkog prijenosa, tijekom njihovog transporta i pohranjivanja na nosače podataka. Također, obavezno je omogućiti provjeru i utvrđivanje na kojim se točkama odvija prijenos podataka o kupcima (uključujući osobne podatke) od strane objekta za prijenos podataka. | • Prijenos podataka uvijek se odvija uz sigurnu enkripciju. Ovo se posebno odnosi na osobne podatke • Privilegirane radnje za potrebe administracije, npr. za provedbu migracija, može se provesti isključivo putem VPN-a. Pristup VPN-u s takvim ovlaštenjima omogućen je isključivo uskom krugu zaposlenika • Sve privilegirane radnje na razini sustava evidentiraju se u dnevnik aktivnosti. Evidencija je također moguća i na razini aplikacije • Dokumenti vrijedni zaštite smiju se slati samo u šifriranom obliku (npr. kompresirani e-mailom sa zaštitnom lozinkom, pri čemu se lozinka mora slati odvojeno putem drugog kanala) |
(6) Kontrola unosa i bilježenje Obavezno je osigurati mogućnost naknadne provjere i utvrđivanja toga tko je navedene podatke o kupcima (uključujući osobne podatke) unosio, mijenjao ili uklanjao u sustavima za obradu podataka. | • Dodjela prava pristupa za unos, promjenu i brisanje podataka na temelju koncepta autorizacije • Evidentiranje unosa, izmjena i brisanja podataka uvijek se pruža na razini sustava putem dnevnika aktivnosti, te na razini usluge/aplikacije u slučaju da je potrebno (prema svrsi aplikacije i osjetljivosti podataka) • Praćenje unosa, promjena i brisanja podataka kroz pojedinačna korisnička imena |
(7) Kontrola dostupnosti i oporavak Podatke o korisnicima (uključujući osobne podatke) obavezno je zaštititi od slučajnog ili namjernog uništenja i gubitka. | • Neprekidno napajanje (dizel generator i UPS uređaj) • Klimatizirane prostorije za servere, opremljene uređajima za praćenje temperature i vlage, te PDU zaštitnim trakama za napajanje • Sveobuhvatna zaštita od požara Inergen protupožarnim sustavom • Izrada koncepta za sigurnosne kopije i oporavak • Zrcaljenje tvrdih diskova, npr. RAID metodom • Planovi za nepredviđene situacije koji detaljno opisuju scenarije grešaka, mjere predostrožnosti i dostupne mjere • Prostorije za servere nisu smještene ispod sanitarnih čvorova • Praćenje kompletne infrastrukture i usluge podatkovnog centra • Redundantna infrastruktura |
(8) Kontrola naloga Obavezno je osigurati da se osobni podaci koji se obrađuju u ime kupca obrađuju isključivo prema uputama klijenata. | • Ukoliko se tijekom radova na održavanju sustava za obradu podataka ne može isključiti moguća promjena osobnih podataka, NTH će obavijestiti klijenta o vremenskom periodu održavanja radova • Zahtjeve za promjenu i migraciju koji sadrže osobne podatke klijent mora podnijeti u pisanom obliku • Obrada podataka odvija se u podatkovnom centru NTH-a, osim ako kupac izričito ne zatraži druge lokacije (npr. određene hosting providere) • Osiguravanje uništavanja podataka nakon završetka narudžbe |
(9) Organizacijska i provedbena kontrola Za obradu podataka definirani su procesi i tijekovi rada koji učinkovito primjenjuju načela zaštite podataka i sigurnosna jamstva, s ciljem ispunjavanja zahtjeva zaštite podataka i zaštite prava žrtava njihovog kršenja. | • Redovita edukacija i senzibiliziranje zaposlenika o načelima zaštite podataka i informatičke sigurnosti • Dužnost tajnosti koja se odnosi na poslovanje i poslovne tajne • Pravilno i pažljivo rukovanje podacima, datotekama, nosačima podataka i ostalim dokumentima • Provjera provedbe i učinkovitosti tehničkih i organizacijskih zaštitnih mjera kroz kontrole i slučajne uzorke • Proces za upravljanje reakcije na incidente i dokumentiranje sigurnosnih incidenata u sustavu ticketinga • Formalizirani postupak obrade zahtjeva za informacijama od strane subjekata obrade podataka • NTH jamči pružanje usluga u skladu sa zakonom o zaštiti podataka |
Tehničke i organizacijske mjere podložne su tehničkom napretku i stalnom razvoju. S obzirom na to, NTH je u mogućnosti primijeniti alternativne, ali prikladne mjere koje podliježu razini sigurnosti i tehničkim zahtjevima definiranim u ovoj izjavi o zaštiti podataka.