Poslovnice

O kompanijama

Holdina EP
O kompanijama
Zaštita osobnih podataka
Politika kontrole pristupa na lokacijama INA Grupe

Politika kontrole pristupa na lokacijama INA Grupe

POLITIKA KONTROLE PRISTUPA NA LOKACIJAMA INA GRUPE KOJIMA UPRAVLJA HOLDINA d.o.o.

1 OPĆENITO

(1) Ova Politika kontrole pristupa na lokacijama INA Grupe kojima upravlja Holdina d.o.o. u Bosni i Hercegovini (u daljnjem tekstu: Politika kontrole pristupa) je usklađena sa Politikom kontrole pristupa na lokacijama INA Grupe kojima upravlja INA, d.d. u Republici Hrvatskoj[1] i odnosi se na sve sustave kontrole pristupana lokacijama Holdina d.o.o. (u daljnjem tekstu: Holdina).

(2) Kontrola pristupa koristi se na lokacijama s ciljem zaštite svojih objekata i sveukupne imovine te da rekonstruira i istražuje sigurnosne incidente, moguće opasnosti ili neovlaštene pristupe štićenim prostorima. Sustav kontrole pristupa može biti računalno podržan (elektronički zapis) ili se pristup na lokacije ručno evidentira.

(3) Kontrola pristupa u objekte osnovna je sigurnosna mjera koja mora biti na snazi kako bi ostale sigurnosne mjere bile učinkovite. Sve lokacije moraju imati utvrđene procedure kojima se odvraća neovlaštene osobe od ulaska u štićene prostore.

(4) Sustavom kontrole pristupa za Holdinu upravlja Sigurnost Društva Holdina d.o.o.


[1] SIGURNOST (Knjiga procesnog područja), verzija 4, Reglation Unique ID: SEC0085

2 EVIDENCIJA

(1) Holdina d.o.o. vodi evidencije kontrole prolaza za radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima te za kontrolu pristupa njihovih vozila. Evidencija se vodi u računalno podržanoj bazi podataka te ručno vođenoj evidenciji kontrole prolaza u knjigama.

(2) Podaci u evidenciji kontrole prolaza iz stavka (1) čuvaju se 2 godine nakon čega se uništavaju.

(3) Uklanjanje podataka starijih od 2 godine iz računalno podržane evidencije kontrole prolaza za radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima vršit će se jedanput godišnje u siječnju svake godine za razdoblje koje je završilo 2 godine prije dana uklanjanja i to automatski.

(4) Knjige evidencije ručno vođene kontrole prolaza za radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima čuvaju se na mjestu nastanka 2 godine.

(5) Nakon završetka tekuće godine, knjige se pečate sigurnosnim naljepnicama. Svaka knjiga evidencije prolaza treba biti zatvorena sigurnosnom naljepnicom s ciljem da se ne može otvarati bez uništavanja pečata ili sigurnosne naljepnice.

(6) U slučaju da se podatkovni zapisi moraju čuvati za potrebe sudskih, upravnih, arbitražnih ili drugih ekvivalentnih postupaka nakon što istekne razdoblje od 2 godine, tada će se oni čuvati u Sigurnosti Društva do okončavanja postupka a sukladnu uputi Pravnih poslova. Svi zapisi vlasništvo su Holdine i poslovna su tajna.

(7) Radnicima i posjetiteljima se u svrhu evidencije ulaska i kretanja po štićenim objektima izdaju identifikacijske kartice (ID kartice).

(8) Radnici i posjetitelji su ID karticu obavezni koristiti prilikom svakog ulaska i izlaska u/iz prostora štićenog sustavom kontrole pristupa, bilo da se radi o prolazu za pješake ili za vozila. Nije dozvoljeno posuđivanje ID kartice drugim osobama, niti „propuštanje” drugih osoba kroz sustav kontrole pristupa uporabom jedne ID kartice. Na lokacijama gdje sustav kontrole pristupa nije implementiran pomoću prepreka („vrtuljci”) koji dozvoljavaju isključivo prolaz jedne osobe u isto vrijeme, nije dozvoljen prolazak (eng. „tail gating“) iza osobe koja je svojom ID karticom otvorila vrata prije. Na lokacijama gdje je sustav kontrole pristupa implementiran za upravljanje rampama za vozila, nije dozvoljen prolazak bez registriranja ID karticom iza vozila/osobe koja je svojom ID karticom podignula rampu ispred osobe/vozila.

U slučaju potrebe (npr. zaboravljena ID kartica), na recepciji objekta ili kod evidentičara i zaštitara može se dobiti privremena ID kartica za ulaz.

(9) Postupak izdavanja nove/zamjena stare ID kartice za kontrolu prolaza, postupak u slučaju gubitka ID kartice može se pronaći na intranet stranicama Sigurnosti društva.

3 PRAVNI TEMELJ I INFORMIRANJE

(1) Holdina d.o.o. i Energopetrol d.d. su zajednički Kontrolori podataka za podatke o pristupu na prostorima u vlasništvu INA Grupe, odnosno Holdina d.o.o. i Energopetrol d.d. i relevantna Povezana društva (INA d.d. i MOL Grupa) su zajednički kontrolori podatka za podatke o pristupu na prostorima u vlasništvu relevantnog Povezanog društva.

(2) Informacija o obradi osobnih podataka u svrhu kontrole pristupa na lokacije INA Grupe dostupna je na službenoj web stranici INE (na LINKU), odnosno na svakoj lokaciji društva INA Grupe koje ima kontrolu pristupa. Sve informacije o obradi osobnih podataka dostupne su u navedenom dokumentu.

(3) Uz navedeno, na svakoj lokaciji postoji posebna obavijest kojom se informira sve radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima o provođenju kontrole pristupa. Takva obavijest kraćeg je sadržaja od Informacije o obrade podataka a sadrži osnovne informacije o obradi osobnih podataka.

(4) Obavijest o provođenju kontrole pristupa iz stavka 3 izrađuje se sukladno trenutno važećim najboljim poslovnim praksama, u formatu koji Nositeljima podataka omogućava vidljivost i transparentnost te mora sadržavati najmanje sljedeće kratke informacije na hrvatskom i engleskom jeziku:

• informaciju da se na konkretnom prostoru provodi kontrola pristupa;

• informaciju da su svi predmeti koji se unose ili iznose i sva prometna sredstva kojima se ulazi ili izlazi sa štićenih prostora podložna pregledu sukladno Zakonu o agencijama i unutrašnjim službama za zaštitu ljudi i imovine („Sl. novine FBiH“, br. 78/2008 i 67/2013);

• kontakt podatke Kontrolora podataka (jednog ili više njih);

• kontakt podatke službenika za zaštitu osobnih podataka kojemu se Nositelji podataka mogu obratiti,

• sažete informacije o svrsi i pravnom temelju obrade podataka;

• podatak o tome gdje se mogu pronaći detaljnije informacije o obradi podataka te o

ostvarivanju prava Nositelja podataka (npr. na recepciji/ulaznoj porti, na web stranici – pri čemu je moguće koristiti i QR kod radi olakšavanja pristupa informacijama, i slično).

(5) Svi radnici, posjetitelji, vanjski izvođači i ostale osobe se ulaskom u štićeni prostor, smatraju informiranima o obradi osobnih podataka prilikom provođenja kontrole pristupa.

4 PRAVO PRISTUPA

(1) Pristupu, organizaciji i rukovođenju sustavom za kontrolu prolaza upravljaju radnici Sigurnosti Društva Holdina, d.o.o.

(2) Kontrolu i obradu osobnih podataka sustavom kontrole pristupa Holdina, d.o.o. dodjeljuje ugovornom davatelju usluga – agenciji za zaštitu ljudi i imovine.

5 ZAŠTITA PODATAKA

(1) Holdina d.o.o. je uspostavila ručni i računalni sustav za obradu osobnih podataka sustavom kontrole pristupa.

(2) U odnosu na računalno podržanu evidenciju kontrole pristupa uspostavljena je evidencija korisnika koja sadrži sheme mogućnosti i ustanovljena prava pristupa bazi podataka.

(3) Uspostavljen je sustav logova za evidentiranje pristupa računalno podržanom sustavu kontrole prolaza koji sadrži vrijeme i mjesto pristupa kao i oznaku osobe koja je izvršila pristup podacima.

(4) Svi zapisi kontrole pristupa predstavljaju poslovnu tajnu i vlasništvo su Holdina d.o.o. te ih je zabranjeno dostavljati i učiniti dostupnima neovlaštenim osobama na bilo koji način i u bilo kojem obliku.

6 SURADNJA S TIJELIMA JAVNE VLASTI, OSTVARIVANJE PRAVA NOSITELJA PODATAKA

(1) Nadležna tijela javne vlasti u okviru obavljanja poslova iz svoga djelokruga utvrđenog važećim propisima imaju pravo na uvid i dostavu podataka.

(2) Nositelji podataka imaju pravo zatražiti ostvarivanje svojih prava propisanih Općom Uredbom o zaštiti podataka, kako je detaljno opisano u Informaciji o obradi osobnih podataka prilikom kontrole pristupa lokacijama Holdina d.o.o.

(3) Zahtjev za ostvarivanjem prava upućuje se Službeniku za zaštitu osobnih podataka. U slučaju da zahtjev za ostvarivanjem prava Nositelja podataka pristigne na Sigurnost Društva Holdina d.o.o zahtjev će biti odmah proslijeđen Službeniku za zaštitu osobnih podataka Holdine u najkraćem roku.

(4) Službenik za zaštitu osobnih podataka preuzet će zahtjev te će, u suradnji sa svim relevantnim organizacijskim jedinicama, koordinirati ostvarivanje prava, odnosno komunicirati prema Nositeljima podataka zbog čega u konkretnom slučaju nije moguće ostvariti određeno pravo.

(5) Službenik za zaštitu osobnih podataka Holdine kao i ostale osobe uključene u postupak opisan ovim poglavljem, prilikom postupanja sa zahtjevima Nositelja podataka dužne su se pridržavati važećih internih pravila INA Grupe o zaštiti osobnih podataka te o ostvarivanju prava Nositelja podataka.

(6) Poslove Službenika za zaštitu ličnih podataka može obavljati i eksterna, licencirana pravna kompanija, u skladu s važećim ugovorom zaključenim s Holdina d.o.o.

7 POSTUPAK U SLUČAJU POVREDE OSOBNIH PODATAKA

(1) U slučaju da određena osoba uoči moguću povredu osobnih podataka o tome će bez odgađanja obavijestiti nadležnu odgovornu osobu/menadžera ili uposlenika pravne službe koji će o tome bez nepotrebnog odgađanja izvijestiti Službenika za zaštitu ličnih podataka Holdine.

(2) Daljni postupak reguliran je važećim internim pravilima u Planu postupanja kod povreda osobnih podataka.

POLITIKA KONTROLE PRISTUPA NA LOKACIJAMA INA GRUPE KOJIMA UPRAVLJA ENERGOPETROL d.d.

1 OPĆENITO

(1) Ova Politika kontrole pristupa na lokacijama INA Grupe kojima upravlja Energopetrol, d.d. u Bosni i Hercegovini (u daljnjem tekstu: Politika kontrole pristupa) je usklađena sa Politikom kontrole pristupa na lokacijama INA Grupe kojima upravlja INA, d.d. u Republici Hrvatskoj[1] i odnosi se na sve sustave kontrole pristupana lokacijama Energopetrol d.d. (u daljnjem tekstu: Energopetrol).

(2) Kontrola pristupa koristi se na lokacijama s ciljem zaštite svojih objekata i sveukupne imovine te da rekonstruira i istražuje sigurnosne incidente, moguće opasnosti ili neovlaštene pristupe štićenim prostorima. Sustav kontrole pristupa može biti računalno podržan (elektronički zapis) ili se pristup na lokacije ručno evidentira.

(3) Kontrola pristupa u objekte osnovna je sigurnosna mjera koja mora biti na snazi kako bi ostale sigurnosne mjere bile učinkovite. Sve lokacije moraju imati utvrđene procedure kojima se odvraća neovlaštene osobe od ulaska u štićene prostore.

(4) Sustavom kontrole pristupa za Energopetrol upravlja Sigurnost Društva Holdina d.o.o. u skladu sa SLA ugovorom.


[1] SIGURNOST (Knjiga procesnog područja), verzija 4, Reglation Unique ID: SEC0085

2 EVIDENCIJA

(1) Energopetrol, d.d. vodi evidencije kontrole prolaza za radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima te za kontrolu pristupa njihovih vozila. Evidencija se vodi u računalno podržanoj bazi podataka te ručno vođenoj evidenciji kontrole prolaza u knjigama.

(2) Podaci u evidenciji kontrole prolaza iz stavka (1) čuvaju se 2 godine nakon čega se uništavaju.

(3) Uklanjanje podataka starijih od 2 godine iz računalno podržane evidencije kontrole prolaza za radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima vršit će se jedanput godišnje u siječnju svake godine za razdoblje koje je završilo 2 godine prije dana uklanjanja i to automatski.

(4) Knjige evidencije ručno vođene kontrole prolaza za radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima čuvaju se na mjestu nastanka 2 godine.

(5) Nakon završetka tekuće godine, knjige se pečate sigurnosnim naljepnicama. Svaka knjiga evidencije prolaza treba biti zatvorena sigurnosnom naljepnicom s ciljem da se ne može otvarati bez uništavanja pečata ili sigurnosne naljepnice.

(6) U slučaju da se podatkovni zapisi moraju čuvati za potrebe sudskih, upravnih, arbitražnih ili drugih ekvivalentnih postupaka nakon što istekne razdoblje od 2 godine, tada će se oni čuvati u Sigurnosti Društva do okončavanja postupka a sukladnu uputi Pravnih poslova. Svi zapisi vlasništvo su Energopetrola i poslovna su tajna.

(7) Radnicima i posjetiteljima se u svrhu evidencije ulaska i kretanja po štićenim objektima izdaju identifikacijske kartice (ID kartice).

(8) Radnici i posjetitelji su ID karticu obavezni koristiti prilikom svakog ulaska i izlaska u/iz prostora štićenog sustavom kontrole pristupa, bilo da se radi o prolazu za pješake ili za vozila. Nije dozvoljeno posuđivanje ID kartice drugim osobama, niti „propuštanje” drugih osoba kroz sustav kontrole pristupa uporabom jedne ID kartice. Na lokacijama gdje sustav kontrole pristupa nije implementiran pomoću prepreka („vrtuljci”) koji dozvoljavaju isključivo prolaz jedne osobe u isto vrijeme, nije dozvoljen prolazak (eng. „tail gating“) iza osobe koja je svojom ID karticom otvorila vrata prije. Na lokacijama gdje je sustav kontrole pristupa implementiran za upravljanje rampama za vozila, nije dozvoljen prolazak bez registriranja ID karticom iza vozila/osobe koja je svojom ID karticom podignula rampu ispred osobe/vozila.

U slučaju potrebe (npr. zaboravljena ID kartica), na recepciji objekta ili kod evidentičara i zaštitara može se dobiti privremena ID kartica za ulaz.

(9) Postupak izdavanja nove/zamjena stare ID kartice za kontrolu prolaza, postupak u slučaju gubitka ID kartice može se pronaći na intranet stranicama Sigurnosti društva.

3 PRAVNI TEMELJ I INFORMIRANJE

(1) Holdina d.o.o. i Energopetrol d.d. su zajednički Kontrolori podataka za podatke o pristupu na prostorima u vlasništvu INA Grupe, odnosno Holdina d.o.o. i Energopetrol d.d. i relevantna Povezana društva (INA d.d. i MOL Grupa) su zajednički kontrolori podatka za podatke o pristupu na prostorima u vlasništvu relevantnog Povezanog društva.

(2) Informacija o obradi osobnih podataka u svrhu kontrole pristupa na lokacije INA Grupe dostupna je na službenoj web stranici INE (na LINKU), odnosno na svakoj lokaciji društva INA Grupe koje ima kontrolu pristupa. Sve informacije o obradi osobnih podataka dostupne su u navedenom dokumentu.

(3) Uz navedeno, na svakoj lokaciji postoji posebna obavijest kojom se informira sve radnike, posjetitelje, vanjske izvođače i ostale osobe koje pristupaju i kreću se po štićenim prostorima o provođenju kontrole pristupa. Takva obavijest kraćeg je sadržaja od Informacije o obrade podataka a sadrži osnovne informacije o obradi osobnih podataka.

(4) Obavijest o provođenju kontrole pristupa iz stavka 3 izrađuje se sukladno trenutno važećim najboljim poslovnim praksama, u formatu koji Nositeljima podataka omogućava vidljivost i transparentnost te mora sadržavati najmanje sljedeće kratke informacije na hrvatskom i engleskom jeziku:

• informaciju da se na konkretnom prostoru provodi kontrola pristupa;

• informaciju da su svi predmeti koji se unose ili iznose i sva prometna sredstva kojima se ulazi ili izlazi sa štićenih prostora podložna pregledu sukladno Zakonu o agencijama i unutrašnjim službama za zaštitu ljudi i imovine („Sl. novine FBiH“, br. 78/2008 i 67/2013);

• kontakt podatke Kontrolora podataka (jednog ili više njih);

• kontakt podatke službenika za zaštitu osobnih podataka kojemu se Nositelji podataka mogu obratiti,

• sažete informacije o svrsi i pravnom temelju obrade podataka;

• podatak o tome gdje se mogu pronaći detaljnije informacije o obradi podataka te o

ostvarivanju prava Nositelja podataka (npr. na recepciji/ulaznoj porti, na web stranici – pri čemu je moguće koristiti i QR kod radi olakšavanja pristupa informacijama, i slično).

(5) Svi radnici, posjetitelji, vanjski izvođači i ostale osobe se ulaskom u štićeni prostor, smatraju informiranima o obradi osobnih podataka prilikom provođenja kontrole pristupa.

4 PRAVO PRISTUPA

(1) Pristupu, organizaciji i rukovođenju sustavom za kontrolu prolaza upravljaju radnici Sigurnosti Društva Holdina, d.o.o.

(2) Kontrolu i obradu osobnih podataka sustavom kontrole pristupa Energopetrol, d.d. dodjeljuje ugovornom davatelju usluga – agenciji za zaštitu ljudi i imovine.

5 ZAŠTITA PODATAKA

(1) Energopetrol d.d. je uspostavila ručni i računalni sustav za obradu osobnih podataka sustavom kontrole pristupa.

(2) U odnosu na računalno podržanu evidenciju kontrole pristupa uspostavljena je evidencija korisnika koja sadrži sheme mogućnosti i ustanovljena prava pristupa bazi podataka.

(3) Uspostavljen je sustav logova za evidentiranje pristupa računalno podržanom sustavu kontrole prolaza koji sadrži vrijeme i mjesto pristupa kao i oznaku osobe koja je izvršila pristup podacima.

(4) Svi zapisi kontrole pristupa predstavljaju poslovnu tajnu i vlasništvo su Energopetrol d.d. te ih je zabranjeno dostavljati i učiniti dostupnima neovlaštenim osobama na bilo koji način i u bilo kojem obliku.

6 SURADNJA S TIJELIMA JAVNE VLASTI, OSTVARIVANJE PRAVA NOSITELJA PODATAKA

(1) Nadležna tijela javne vlasti u okviru obavljanja poslova iz svoga djelokruga utvrđenog važećim propisima imaju pravo na uvid i dostavu podataka.

(2) Nositelji podataka imaju pravo zatražiti ostvarivanje svojih prava propisanih Općom Uredbom o zaštiti podataka, kako je detaljno opisano u Informaciji o obradi osobnih podataka prilikom kontrole pristupa lokacijama Energopetrol d.d.

(3) Zahtjev za ostvarivanjem prava upućuje se Službeniku za zaštitu osobnih podataka. U slučaju da zahtjev za ostvarivanjem prava Nositelja podataka pristigne na Sigurnost Društva za Energopetrol d.d., zahtjev će biti odmah proslijeđen Službeniku za zaštitu osobnih podataka Energopetrola u najkraćem roku.

(4) Službenik za zaštitu osobnih podataka preuzet će zahtjev te će, u suradnji sa svim relevantnim organizacijskim jedinicama, koordinirati ostvarivanje prava, odnosno komunicirati prema Nositeljima podataka zbog čega u konkretnom slučaju nije moguće ostvariti određeno pravo.

(5) Službenik za zaštitu osobnih podataka Energopetrola, kao i ostale osobe uključene u postupak opisan ovim poglavljem, prilikom postupanja sa zahtjevima Nositelja podataka dužne su se pridržavati važećih internih pravila INA Grupe o zaštiti osobnih podataka te o ostvarivanju prava Nositelja podataka.

(6) Poslove Službenika za zaštitu ličnih podataka može obavljati i eksterna, licencirana pravna kompanija, u skladu s važećim ugovorom zaključenim s Energopetrol d.d.

7 POSTUPAK U SLUČAJU POVREDE OSOBNIH PODATAKA

(1) U slučaju da određena osoba uoči moguću povredu osobnih podataka o tome će bez odgađanja obavijestiti nadležnu odgovornu osobu/menadžera ili uposlenika pravne službe koji će o tome bez nepotrebnog odgađanja izvijestiti Službenika za zaštitu ličnih podataka Energopetrola.

(2) Daljni postupak reguliran je važećim internim pravilima u Planu postupanja kod povreda osobnih podataka.