Article

Avature – Privacy notice

Information on processing your personal data for Onboarding process

INFORMATION ON PERSONAL DATA PROCESSING

 

This information is provided to you as Employee by one of the following Deloitte1 entities which is your Employer:

 

  • Deloitte d.o.o., Radnicka cesta 80, 10 000 Zagreb, Croatia
  • Deloitte Savjetodavne Usluge d.o.o., Radnicka cesta 80, 10 000 Zagreb, Croatia

 

(hereinafter the “Employer”)

 

In accordance with the Regulation (EU) 2016/679 of the European Parliament and the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) as amended (hereinafter the “GDPR” or “Personal Data Regulation”), the Employee acknowledges that his/her Personal Data are processed by the Employer as the Data Controller. The processing is carried out under the Employment Contract between the Employee and the Employer, in connection with or in relation to the performance of the Employee’s work for the Employer, and also covers the purposes of use of the Employer’s information systems and compliance with the internal policies of DTTL member firms and their respective subsidiaries and affiliates.

 

A.

Definitions:

The below definitions serve for nomenclature purposes solely, and in specific cases do not establish any existence of an Employment relationship in accordance with the Labour Code (hereinafter the “Labour Code”)

 

  • "Applicant“ shall mean any person aiming to establish an Employment with the Employer.
  • Data Controller” shall mean the natural or legal person, public authority, agency or other body which alone or jointly with others, determines the purposes and means of the processing of the Personal Data. In relation to the Employee Personal Data, the Controller is his/her Employer/affiliate of Deloitte CE.
  • Employee” shall mean any person in an Employment relationship or similar Employment relationship (agreements on work performed outside the Employment relationship) or other contractual relationship with the Employer, including statutory representatives, proxies, professional advisors, and consultants of the Employer. For the purpose of this information, a reference to Employee shall also include Applicant.
  • Employment” under this information shall also include similar Employment relationships (agreements on work performed outside the Employment relationship) or other contractual relationships of individuals actively working for the Employer when applicable.
  • Employment Contract” under this information shall mean the contract establishing the Employment as defined above.
  • Personal Data” means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
  • Processor” means a natural or legal person, public authority, agency or other body which processes Personal Data on behalf of the Data Controller.
  • Recipient” means a natural or legal person, public authority, agency or another body to which the Personal Data are disclosed. In relation to Employee Personal Data, Recipients can be, for example, an Employee(s) of the Controller, or a Processor(s) or Employee(s) of the Processor. Public authorities which may receive Personal Data in the framework of a particular inquiry in accordance with the law shall not be regarded as Recipients.

 

B.

Extent of the processing:

 

The Employer processes the Personal Data of the Employee to the following extent:

  • Personal Data to the extent required by the relevant legislation (Labour Code and other legislation related to the Employment);
  • Personal Data submitted by the Employee before entering into the Employment relationship as well as Personal Data provided by the Employee during the recruitment process including their evaluation (e.g. test results);
  • Personal Data relating to the Employee’s professional qualifications and experience;
  • Other Personal Data relating to the Employee’s Employment (including sensitive data) with the Employer and performance of his/her obligations related to the Employment relationship (for example: performance management data, data on training and e-learning attendance, phone-call lists, usage of Deloitte devices and systems etc.); and
  • Photographs, video and audio recordings of the Employee.

 

C.

Purpose of the processing of the Personal Data by the Employer:

 

The purpose of the processing of the Personal Data is for the Employer to exercise its rights and obligations pursuant to the Labour Code, the Employment Contract, and other relevant legislation, in particular, with regard to maintaining HR and payroll agenda, to acts relating to performance of the Employee’s obligations related to Employment, Employee training and education, benefits, and connected to offering and providing the Employer’s services to the clients as specified in more detail in the paragraph below.

 

The Employer is also entitled to process the Personal Data for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system. Processing in this extent is based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality. This includes, among others, prevention and remedy of any technical problems, prevention and suppression of activities that are intentionally illegal, contrary to the public order or that are wilfully damaging to any third party’s rights and dignity, prevention and suppression of any violation of intellectual property rights as well as confidentiality and integrity of Employer’s data, the security and good technical functioning of its systems and the costs relative thereto, as well as the material protection of all Employer’s resources.

 

D.

The Employer is entitled to provide the Employee’s Personal Data to the following Recipients that are the Employer's Data Processors, who process the Personal Data on behalf of the Employer, under the conditions and to the extent agreed with the Employer in a written authorisation/contract. In particular, for the purpose of: the Employee’s records in the HR systems; processing of his/her HR and payroll records; providing Employee benefits; providing IS services; document archiving; e-mail services and other hosted applications services; and to the extent necessary for the performance of rights and obligations arising from the Employment relationship between the Employee and the Employer, or as agreed between the Employee and the Employer as well as for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality.

 

The list of the Employer's Data Processors within Deloitte CE is published and accessible here:

1611.01 List of Employee Personal Data Processors.pdf (deloitte.com)

 

The list of the local Employer’s Data Processors is published and accessible here:

1612.13 List of Employee Personal Data Processors - Croatia.pdf (deloitte.com)

 

Hard copies of the above-mentioned lists are available from the local HR department and are provided to the Employee upon his/her request.

 

The Personal Data of the Employee may also be disclosed to the competent authorities as authorized by the applicable laws.

 

The Employee is hereby informed that the Employer may provide the Employee’s Personal Data for the purposes as specified above to Deloitte CE and DTTL member firms and their respective subsidiaries and affiliates during the term of the Employment, even to countries outside of the EU territory which do not always ensure the same level of protection as required by the EU legislation. Such transfers to countries outside of the EU either to the Processor (as indicated in the list of the Employer's Data Processors within Deloitte CE) or Controller are based on the EU approved Standard Contractual Clauses. In specific situations, such as e.g. mobility programme or cross-border cooperation provision, the Employee’s Personal Data can be transferred to the Recipient outside the EU and it is the responsibility of such Recipient to comply with the local law when processing the Personal Data.

 

E.

The data will be processed until the purposes of processing such Personal Data are fulfilled; or as required by the applicable legislation. The Employer is entitled to process the Personal Data of the Employee for a period of three months after the Employment relationship is terminated or as required by the applicable legislation. After this period expires, the Personal Data of the Employee will be anonymised or permanently deleted.

The Employee is responsible for the accuracy and update of the Personal Data he/she has provided to the Employer. The Employee undertakes to notify the Employer of any changes in the Personal Data provided without undue delay.

 

F.

During and after the Employment relationship, the Employee is obliged to keep confidential the Personal Data of the Employer’s Employees, clients, external suppliers, and other natural persons met by the Employee in the course of his/her Employment, which are processed in connection with his/her job duties performed for the Employer; he/she may not use the Personal Data for personal purposes, and he/she may not publish them or make them accessible without the Employer’s or the particular natural person’s consent. Other obligations of the Employee related to work with Personal Data are specified in the Employer’s internal policies and regulations, of which the Employee was informed and which he/she undertakes to comply with.

 

G.

The Employer shall establish technological, physical, administrative and procedural safeguards all in line with the industry accepted standards in order to protect and ensure the confidentiality, integrity or accessibility of the Personal Data processed; prevent the unauthorized use of or unauthorized access to the Personal Data, or prevent a Personal Data breach (security incident) in accordance with Deloitte instructions, policies and applicable laws. Deloitte is a holder of ISO 27001 certification – a widely recognized global information standard:

https://resources.deloitte.com/sites/centraleurope/quality/Pages/Security.aspx

 

H.

Data Subjects’ Rights

 

The Employee has the right to:

  • request access to his/her Personal Data (and request a copy of the Personal Data that the Employer processes),
  • request the Employer to update and correct his/her Personal Data (right to rectification),
  • request the Employer to delete his/her Personal Data (where possible), or
  • require a restriction on the processing of his/her data.

 

The Employee may object to the processing (in certain cases as specified by GDPR), as well as execute his/her right to data portability (receive a copy of Personal Data which the Employee provided to the Employer in a structured machine – readable format and request the Employer to transmit such data to another data recipient).

 

The Employee can enforce all rights described here by sending e-mail to: CESouthHRTeam@deloitte.com, or a written notice to: business name of the Employer, Radnicka cesta 80, 10 000 Zagreb, Croatia.

 

The Employee can also contact CEprivacy@deloittece.com for any questions related to processing of Employee´s Personal Data including the security safeguards when transferring the data outside of the EU region.

 

It is also the right of each Employee to lodge a complaint with a local data protection supervisory authority in the country of his/her residence in case the Employee is of an opinion that the processing of his/her Personal Data infringes the GDPR.

 

To learn more about the data subject’s right of the Employee, please read 1604.03 Data Subjects’ Rights Execution policy available here:

Microsoft Word - 1604.03 Data Subjects' Rights Execution.docx (deloitte.com)

 

The Employee confirms that he/she has been informed of:

  • his/her rights arising from the Personal Data Regulation and other relevant legislation; and
  • the fact that the provision of Personal Data to be processed under this information is compulsory. Failure to provide Personal Data by the Employee pursuant to this information may result in particular in the impossibility to conclude the Employment Contract, the impossibility of the Employer to fulfil its legal obligations or obligations arising from the Employment Contract, etc.

 

 

 

 

Employee’s consent2 to the processing of his/her photographs or audio and video recordings (“personal data”) on Deloitte CE websites, intranets, office plasma TV’s or accounts on social networking sites

 

This consent is granted by you as Employee to one of the following Deloitte3 entities which is your Employer:

 

  • Deloitte d.o.o., Radnicka cesta 80, 10 000 Zagreb, Croatia
  • Deloitte Savjetodavne Usluge d.o.o., Radnicka cesta 80, 10 000 Zagreb, Croatia

 

(hereinafter the “Employer”)

 

A.

Definitions:

The below definitions serve for nomenclature purposes solely, and in specific cases do not establish the existence of an Employment relationship in accordance with the Labour Code (hereinafter the “Labour Code”).

 

  • "Applicant“ shall mean any person aiming to establish an Employment with the Employer.
  • Data Controller” shall mean the natural or legal person, public authority, agency or other body which alone or jointly with others, determines the purposes and means of the processing of the Personal Data. In relation to the Employee Personal Data, the Controller is his/her Employer/affiliate of Deloitte CE.
  • Employee” shall mean any person in an Employment relationship or similar Employment relationship (agreements on work performed outside the Employment relationship) or other contractual relationship with the Employer, including statutory representatives, proxies, professional advisors, and consultants of the Employer. For the purpose of this information, a reference to Employee shall also include Applicant.
  • Employment” under this consent shall also include similar Employment relationships (agreements on work performed outside the Employment relationship) or other contractual relationships of individuals actively working for the Employer when applicable.
  • Employment Contract” under this consent shall mean the contract establishing the Employment as defined above.
  • Personal Data” means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
  • Processor” means a natural or legal person, public authority, agency or other body which processes Personal Data on behalf of the Data Controller.
  • Recipient” means a natural or legal person, public authority, agency or another body to which the Personal Data are disclosed. In relation to Employee Personal Data, Recipients can be, for example, an Employee(s) of the Controller, or a Processor(s) or Employee(s) of the Processor. Public authorities which may receive Personal Data in the framework of a particular inquiry in accordance with the law shall not be regarded as Recipients.

 

 

B.

In accordance with the Regulation (EU) 2016/679 of the European Parliament and the Council of 27 April 2016 on the protection of natural persons with regard to the processing of Personal Data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (hereinafter the “GDPR” or “Personal Data Regulation”), the Employee hereby grants his/her consent to the processing of his/her Personal Data by the Employer as the Data Controller. This consent is voluntarily granted with respect to the data provided by the Employee to the Employer in the course of Employment with the Employer for the following purpose: to inform the public about various activities executed, organized or supported by the Employer and Deloitte (other than those necessary for the performance of the Employee’s duties within his/her job description e.g. client-facing documentation i.a. proposals, offers, entrance and security cards/badges etc.), in particular to take, publish, and process Employee’s photographs or audio and video recording.

 

C.

If an Employee consents to the publication of photographs or audio and video recordings of himself/herself on social networking sites, he/she acknowledges that the processing of such data is governed by the terms and conditions of the provider of such social networking sites.

 

D.

The Employee provides his/her consent to the Employer for the duration of the period until the purposes of processing such Personal Data are fulfilled, but not longer than for the duration of the Employment relationship; or until revoked as per instruction here-below. After this period expires the Employee’s Personal Data will be anonymised or permanently deleted.

 

E.

The Employer shall establish technological, physical, administrative and procedural safeguards all in line with the industry accepted standards in order to protect and ensure the confidentiality, integrity or accessibility of the Personal Data processed; prevent the unauthorized use of or unauthorized access to the Personal Data, or prevent a Personal Data breach (security incident) in accordance with Deloitte CE instructions, policies and applicable laws. Deloitte CE is a holder of ISO 27001 certification – a widely recognized global information standard:

https://resources.deloitte.com/sites/centraleurope/quality/Pages/Security.aspx

 

F.

Data Subjects’ Rights

 

The Employee has the right to:

  • withdraw his/her consent anytime without detriment (the withdrawal of consent shall not affect the lawfulness of the processing based on the consent given before its withdrawal),
  • request access to his/her Personal Data (and request a copy of the Personal Data that the Employer processes),
  • request the Employer to update and correct his/her Personal Data (right to rectification),
  • request the Employer to delete his/her Personal Data (where possible), or
  • require a restriction on the processing of his/her data.

 

The Employee may object to the processing (in certain cases as specified by GDPR), as well as execute his/her right to data portability (receive a copy of Personal Data which the Employee provided to the Employer in a structured machine – readable format and request the Employer to transmit such data to another data recipient).

 

The Employee can enforce all rights described here by sending e-mail to: CESouthHRTeam@deloitte.com, or a written notice to: business name of the Employer, Radnicka cesta 80, 10 000 Zagreb, Croatia.

 

The Employee can also contact CEprivacy@deloittece.com for any questions related to processing your Personal Data including the security safeguards when transferring the data outside of the EU region.

 

It is also the right of each Employee to lodge a complaint with a local data protection supervisory authority in the country of his/her residence in case the Employee is of an opinion that the processing of his/her Personal Data infringes the GDPR.

 

G.

The Employee confirms that he/she was informed of:

  • his/her rights arising from the Personal Data Regulation and other relevant legislation; and
  • the fact that the provision of Personal Data under this consent is on a voluntary basis.

 

H.

The Employee may grant his/her consent to the Employer to take, publish and process photographs or audio and video recordings of the Employee via the following platforms in accordance with the applicable laws (Employee to choose from the below option(s) by ticking the box(es) on the onboarding platform):

  • social networking sites (e.g. LinkedIn, Facebook, Instagram) – the Employee is aware that the processing is governed by the Terms and Conditions of the respective website provider
  • external website (www.deloitte.com) and other websites provided by Deloitte
  • intranet and office plasma TV’s

 

1 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. Deloitte Central Europe (“Deloitte CE”) refers to the regional organization of entities organized under the umbrella of Deloitte Central Europe Holdings Limited, the member firm of DTTL. DTTL and each of its member firms are legally separate and independent entities. Employer is a subsidiary or affiliated company of Deloitte CE.

2 Note, that the consent does not apply to the following purpose: support and promote services provided by the Employer and Deloitte CE to its clients, in this case the legal basis of processing is employment contract between Employee and Employer (part of the respective job description e.g. client-facing documentation i.a. proposals, offers, entrance and security cards/badges etc.).

3 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. Deloitte Central Europe (“Deloitte CE”) refers to the regional organization of entities organized under the umbrella of Deloitte Central Europe Holdings Limited, the member firm of DTTL. DTTL and each of its member firms are legally separate and independent entities. Employer is a subsidiary or affiliated company of Deloitte CE.

 

 

 

 

INFORMACIJE O OBRADI OSOBNIH PODATAKA

Ove informacije vama kao zaposleniku daje jedan od sljedećih Deloitteovih entiteta koji je ujedno vaš poslodavac:1

  • Deloitte d.o.o., Radnička cesta 80, 10 000 Zagreb, Hrvatska
  • Deloitte Savjetodavne Usluge d.o.o., Radnička cesta 80, 10 000 Zagreb, Hrvatska

(dalje u daljnjem tekstu "Poslodavac")

U skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti fizičkih osoba u pogledu obrade osobnih podataka i o slobodnom kretanju takvih podataka te stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) kako je izmijenjena (dalje u tekstu "GDPR" ili "Uredba o osobnim podacima" "), Zaposlenik prima na znanje da njegove osobne podatke obrađuje Poslodavac kao voditelj obrade podataka. Obrada se provodi na temelju Ugovora o radu između Zaposlenika i Poslodavca, radi obavljanja ili u vezi s obavljanjem posla Zaposlenika za Poslodavca, a obuhvaća i svrhe korištenja informacijskih sustava Poslodavca i usklađenost s internim politikama društava članica DTTL-a i njihovih podružnica i povezanih društava.

A.

Definicije:

Definicije u nastavku služe isključivo u nomenklaturne svrhe, i u posebnim slučajevima ne utvrđuju postojanje radnog odnosa u skladu sa Zakonom o radu (u daljnjem tekstu "Zakon o radu")

  • "Podnositelj zahtjeva" znači svaka osoba koja ima za cilj uspostaviti radni odnos kod Poslodavca.
  • "Voditelj obrade podataka" znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. U vezi s osobnim podacima zaposlenika, voditelj obrade je njegov poslodavac/povezano društvo Deloitte CE.
  • "Zaposlenik" znači svaka osoba u radnom odnosu ili sličnom radnom odnosu (ugovori o radu izvan radnog odnosa) ili drugom ugovornom odnosu s Poslodavcem, uključujući zakonske zastupnike, opunomoćenike, stručne savjetnike i konzultante Poslodavca. Za potrebe ovih informacija, upućivanje na Zaposlenika uključuje i podnositelja zahtjeva.
  • "Radni odnos", za potrebe ovih Informacija uključuje i slične radne odnose (ugovore o radu koji se obavljaju izvan radnog odnosa) ili druge ugovorne odnose pojedinaca koji aktivno rade za Poslodavca ako je to primjenjivo.
  • "Ugovor o radu" za potrebe ovih Informacija znači ugovor o zasnivanju radnog odnosa kako je prethodno definirano.
  • "Osobni podaci" znači sve informacije koje se odnose na fizičku osobu koja je identificirana ili se može identificirati; fizička osoba koja se može identificirati je osoba koja se može identificirati, izravno ili neizravno, posebno upućivanjem na identifikatore kao što su ime, identifikacijski broj, podaci o lokaciji, internetski identifikator ili na jedan ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te fizičke osobe.
  • "Izvršitelj obrade" znači fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade podataka.
  • "Primatelj" znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci. U odnosu na osobne podatke zaposlenika, primatelji mogu biti, na primjer, zaposlenici voditelja obrade ili izvršitelji obrade ili zaposlenici izvršitelja obrade. Tijela javne vlasti koja mogu primati osobne podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primateljima.

B.

Opseg obrade:

Poslodavac obrađuje osobne podatke Zaposlenika u sljedećoj mjeri:

  • osobni podaci u mjeri u kojoj to zahtijeva relevantno zakonodavstvo (Zakon o radu i drugo zakonodavstvo koje se odnosi na zapošljavanje);
  • Osobni podaci koje zaposlenik dostavi prije ulaska u radni odnos, kao i osobni podaci koje je zaposlenik dostavio tijekom postupka zapošljavanja, uključujući njihovu procjenu (npr. rezultate ispitivanja);
  • Osobni podaci koji se odnose na stručne kvalifikacije i iskustvo Zaposlenika;
  • Ostali osobni podaci koji se odnose na zapošljavanje Zaposlenika (uključujući osjetljive podatke) kod Poslodavca i izvršavanje njegovih obveza vezanih uz radni odnos (na primjer: podaci o upravljanju učinkom, podaci o osposobljavanju i pohađanju e-učenja, popisi telefonskih poziva, korištenje Deloitte uređaja i sustava itd.); i
  • Fotografije, video i audio snimke Zaposlenika.

C.

Svrha obrade osobnih podataka od strane Poslodavca:

Svrha obrade osobnih podataka je da Poslodavac ostvari svoja prava i obveze sukladno Zakonu o radu, Ugovoru o radu i drugom relevantnom zakonodavstvu, posebno u pogledu izvršavanja zadataka odjela ljudskih resursa i obračuna plaća, radnji koje se odnose na izvršavanje obveza Zaposlenika vezanih uz zapošljavanje, osposobljavanje Zaposlenika i obrazovanje, pogodnosti te koje su povezane s pružanjem usluga Poslodavca klijentima kako je detaljnije navedeno u odlomku u nastavku.

Poslodavac također ima pravo obrađivati osobne podatke u svrhu praćenja usklađenosti Zaposlenika s relevantnim politikama Poslodavca koje se odnose na sigurnost uređaja i sustava Poslodavca. Obrada se u tom opsegu temelji na legitimnom interesu Poslodavca da osigura kontinuitet poslovanja i zaštitu njegovih gospodarskih, komercijalnih i financijskih interesa, a posebno poštivanje pravila o povjerljivosti. To uključuje, između ostalog, sprječavanje i ispravljanje bilo kakvih tehničkih problema, sprječavanje i suzbijanje aktivnosti koje su namjerno nezakonite, suprotne javnom redu ili koje namjerno štete pravima i dostojanstvu bilo koje treće strane, sprječavanje i suzbijanje bilo kakvog kršenja prava intelektualnog vlasništva, kao i povjerljivosti i integriteta podataka Poslodavca, sigurnost i ispravno tehničko funkcioniranje njegovih sustava i troškovi koji se na to odnose, kao i materijalna zaštita svih resursa Poslodavca.

D.

Poslodavac ima pravo dostaviti osobne podatke Zaposlenika sljedećim Primateljima koji su izvršitelji obrade podataka Poslodavca, koji osobne podatke obrađuju u ime Poslodavca, pod uvjetima i u mjeri u kojoj je s Poslodavcem ugovoreno pisanim odobrenjem/ugovorom. Konkretno, u svrhu: evidencije zaposlenika u sustavima ljudskih resursa; obradu njegovih ljudskih resursa i evidencije o plaćama; pružanje pogodnosti zaposlenicima; pružanje usluga informacijske tehnologije; arhiviranje dokumenata; usluge e-pošte i druge usluge aplikacija; i u mjeri u kojoj je to potrebno za ostvarivanje prava i obveza koje proizlaze iz radnog odnosa između Zaposlenika i Poslodavca, ili kako je dogovoreno između Zaposlenika i Poslodavca, kao i u svrhu praćenja usklađenosti Zaposlenika s relevantnim politikama Poslodavca koje se odnose na sigurnost uređaja i sustava Poslodavca na temelju legitimnog interesa Poslodavca za osiguranje kontinuiteta poslovanja i zaštite njegovih gospodarskih, komercijalnih i financijskih interesa, a posebno poštovanje pravila o povjerljivosti.

Popis izvršitelja obrade podataka Poslodavca unutar Deloitte CE objavljen je i dostupan ovdje:

1611.01 Popis izvršitelja obrade osobnih podataka zaposlenika.pdf (deloitte.com)

Popis lokalnih izvršitelja obrade podataka Poslodavca objavljen je i dostupan ovdje:

1612.13 Popis izvršitelja obrade osobnih podataka zaposlenika - Hrvatska.pdf (deloitte.com)

Tiskani primjerci gore navedenih popisa dostupni su u lokalnom odjelu za ljudske resurse i dostavljaju se Zaposleniku na njegov zahtjev.

Osobni podaci Zaposlenika također se mogu otkriti nadležnim tijelima prema ovlaštenju sukladno važećim propisima.

Zaposlenik je ovime obaviješten da Poslodavac može dostaviti osobne podatke Zaposlenika u svrhe kako je gore navedeno društvima članicama Deloitte CE i DTTL te njihovim društvima kćerima i povezanim društvima tijekom radnog odnosa, čak i u zemljama izvan teritorija EU-a koje ne osiguravaju uvijek istu razinu zaštite kao što je propisano zakonodavstvom EU-a. Takvi prijenosi u zemlje izvan EU-a ili izvršitelju obrade (kako je navedeno na popisu izvršitelja obrade podataka poslodavca unutar Deloitte CE- a) ili voditelju obrade temelje se na standardnim ugovornim klauzulama koje je odobrio EU. U posebnim situacijama, kao što su npr. program mobilnosti ili pružanje prekogranične suradnje, osobni podaci Zaposlenika mogu se prenijeti primatelju izvan EU-a i odgovornost je takvog Primatelja da poštuje lokalni zakon prilikom obrade osobnih podataka.

E.

Podaci će se obrađivati dok se ne ispune svrhe obrade takvih osobnih podataka; ili u skladu s primjenjivim zakonodavstvom. Poslodavac ima pravo obrađivati osobne podatke Zaposlenika u trajanju od tri mjeseca nakon prestanka radnog odnosa ili u skladu s važećim zakonodavstvom. Nakon isteka tog razdoblja osobni podaci Zaposlenika bit će anonimizirani ili trajno izbrisani.

Zaposlenik je odgovoran za točnost i ažuriranje osobnih podataka koje je dostavio Poslodavcu. Zaposlenik se obvezuje bez nepotrebnog odgađanja obavijestiti Poslodavca o svim promjenama u dostavljenim osobnim podacima.

F.

Tijekom i nakon radnog odnosa Zaposlenik je dužan čuvati povjerljivost osobnih podataka Zaposlenika Poslodavca, klijenata, vanjskih dobavljača i drugih fizičkih osoba koje je Zaposlenik upoznao tijekom svog zaposlenja, a koji se obrađuju u vezi s njegovim radnim dužnostima koje obavlja za Poslodavca; osobne podatke ne smije koristiti u osobne svrhe te ih ne smije objavljivati niti učiniti dostupnima bez suglasnosti Poslodavca ili određene fizičke osobe. Ostale obveze Zaposlenika koje se odnose na rad s osobnim podacima navedene su u internim politikama i propisima Poslodavca, o čemu je Zaposlenik obaviješten i koje se obvezuje poštivati.

G.

Poslodavac uspostavlja tehnološke, fizičke, administrativne i postupovne zaštitne mjere sve u skladu sa standardima prihvaćenima u industriji kako bi zaštitio i osigurao povjerljivost, integritet ili dostupnost obrađenih osobnih podataka; spriječiti neovlašteno korištenje ili neovlašteni pristup osobnim podacima ili spriječiti kršenje osobnih podataka (sigurnosni incident) u skladu s Deloitteovim uputama, pravilima i važećim zakonima. Deloitte je nositelj CERTIFIKATA ISO 27001 – široko priznatog globalnog informacijskog standarda:

https://resources.deloitte.com/sites/centraleurope/quality/Pages/Security.aspx

H.

Prava ispitanika

Zaposlenik ima pravo na:

  • zatražiti pristup svojim osobnim podacima (i zatražiti presliku osobnih podataka koje Poslodavac obrađuje),
  • zatražiti od Poslodavca da ažurira i ispravi svoje osobne podatke (pravo na ispravak),
  • zatražiti od Poslodavca da izbriše svoje osobne podatke (ako je to moguće), ili
  • zahtijevati ograničenje obrade njegovih podataka.

Zaposlenik može uložiti prigovor na obradu (u određenim slučajevima kako je određeno GDPR-om), kao i izvršiti svoje pravo na prenosivost podataka (primiti kopiju osobnih podataka koje je Zaposlenik dostavio Poslodavcu u strukturiranom strojno – čitljivom formatu i zatražiti od Poslodavca da takve podatke prenese drugom primatelju podataka).

Zaposlenik može ostvariti sva ovdje opisana prava slanjem e-maila na: CESouthHRTeam@deloitte.com ili pisane obavijesti na adresu: naziv Poslodavca, Radnička cesta 80, 10 000 Zagreb, Hrvatska.

Zaposlenik se također može obratiti CEprivacy@deloittece.com za sva pitanja vezana uz obradu osobnih podataka Zaposlenika, uključujući sigurnosne zaštitne mjere prilikom prijenosa podataka izvan regije EU.

Također je pravo svakog Zaposlenika da podnese pritužbu lokalnom nadzornom tijelu za zaštitu podataka u zemlji svog prebivališta u slučaju da Zaposlenik smatra da se obradom njegovih osobnih podataka krši GDPR.

Da biste saznali više o pravu Zaposlenika ispitanika, pročitajte 1604.03 Politiku o izvršenja prava ispitanika dostupna ovdje:

Microsoft Word - 1604.03 Izvršavanje prava ispitanika.docx (deloitte.com)

Zaposlenik potvrđuje da je obaviješten o:

  • svojim pravima koja proizlaze iz Uredbe o osobnim podacima i drugog relevantnog zakonodavstva; i
  • činjenici da je pružanje osobnih podataka koji se obrađuju u skladu s tim informacijama obvezno. Nepružanje osobnih podataka od strane Zaposlenika u skladu s tim informacijama može rezultirati osobito nemogućnošću sklapanja Ugovora o radu, nemogućnošću Poslodavca da ispuni svoje zakonske obveze ili obveze koje proizlaze iz Ugovora o radu, itd.


Pristanak zaposlenika na obradu njegovih fotografija ili audio i video zapisa ("osobni podaci")na Deloitte CE web stranicama, intranetima, uredskim plazma TV-ima ili računima na društvenim mrežama

Ovu privolu dajete kao Zaposlenik jednog od sljedećih Deloitteovih entiteta koji je vašPoslodavac:

  • Deloitte d.o.o., Radnička cesta 80, 10 000 Zagreb, Hrvatska
  • Deloitte Savjetodavne Usluge d.o.o., Radnička cesta 80, 10 000 Zagreb, Hrvatska

(dalje u daljnjem tekstu "Poslodavac")

A.

Definicije:

Definicije u nastavku služe isključivo u nomenklaturne svrhe, a u posebnim slučajevima ne utvrđuju postojanje radnog odnosa u skladu sa Zakonom o radu (dalje u tekstu "Zakon o radu").

  • "Podnositelj zahtjeva" znači svaka osoba koja ima za cilj uspostaviti radni odnos kod Poslodavca.
  • "Voditelj obrade podataka" znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka. U vezi s osobnim podacima zaposlenika, voditelj obrade je njegov poslodavac/povezano društvo Deloitte CE.
  • "Zaposlenik" znači svaka osoba u radnom odnosu ili sličnom radnom odnosu (ugovori o radu izvan radnog odnosa) ili drugom ugovornom odnosu s Poslodavcem, uključujući zakonske zastupnike, opunomoćenike, stručne savjetnike i konzultante Poslodavca. Za potrebe ovih informacija, upućivanje na Zaposlenika uključuje i podnositelja zahtjeva.
  • "Radni odnos", za potrebe ovih Informacija uključuje i slične radne odnose (ugovore o radu koji se obavljaju izvan radnog odnosa) ili druge ugovorne odnose pojedinaca koji aktivno rade za Poslodavca ako je to primjenjivo.
  • "Ugovor o radu" za potrebe ovih Informacija znači ugovor o zasnivanju radnog odnosa kako je prethodno definirano.
  • "Osobni podaci" znači sve informacije koje se odnose na fizičku osobu koja je identificirana ili se može identificirati; fizička osoba koja se može identificirati je osoba koja se može identificirati, izravno ili neizravno, posebno upućivanjem na identifikatore kao što su ime, identifikacijski broj, podaci o lokaciji, internetski identifikator ili na jedan ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te fizičke osobe.
  • "Izvršitelj obrade" znači fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade podataka.
  • "Primatelj" znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci. U odnosu na osobne podatke zaposlenika, primatelji mogu biti, na primjer, zaposlenici voditelja obrade ili izvršitelji obrade ili zaposlenici izvršitelja obrade. Tijela javne vlasti koja mogu primati osobne podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primateljima.

B.

U skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti fizičkih osoba u pogledu obrade osobnih podataka i o slobodnom kretanju takvih podataka te stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (dalje u tekstu "GDPR" ili "Uredba o osobnim podacima" "), Zaposlenik ovim putem daje suglasnost za obradu svojih osobnih podataka od strane Poslodavca kao voditelja obrade podataka. Ova suglasnost dobrovoljno se daje u odnosu na podatke koje je Zaposlenik dao poslodavcu tijekom zaposlenja kod Poslodavca u sljedeću svrhu: informirati javnost o različitim aktivnostima koje provedenih, organiziranih ili podržavanih od strane Poslodavca i Deloittea (osim onih potrebnih za obavljanje dužnosti Zaposlenika u okviru njegovog /njezinog opisa posla, npr. dokumentacija za klijenta, odnosno prijedlozi, ponude, ulazne i sigurnosne kartice/značke itd.), posebno za snimanje, objavljivanje i obradu fotografija Zaposlenika ili audio i video zapisa.

C.

Ako Zaposlenik pristane na objavljivanje svojih fotografija ili audio i video zapisa na društvenim mrežama, prihvaća da je obrada takvih podataka uređena uvjetima i odredbama pružatelja takvih društvenih mreža.

D.

Zaposlenik daje suglasnost Poslodavcu za vrijeme trajanja razdoblja do ispunjenja svrhe obrade takvih osobnih podataka, ali ne dulje nego za vrijeme trajanja radnog odnosa; ili dok se ne opozove prema uputama ovdje-dolje. Nakon isteka tog razdoblja osobni podaci zaposlenika bit će anonimizirani ili trajno izbrisani.

E.

Poslodavac uspostavlja tehnološke, fizičke, administrativne i postupovne zaštitne mjere sve u skladu sa standardima prihvaćenima u industriji kako bi zaštitio i osigurao povjerljivost, integritet ili dostupnost obrađenih osobnih podataka; spriječiti neovlašteno korištenje ili neovlašteni pristup osobnim podacima ili spriječiti kršenje osobnih podataka (sigurnosni incident) u skladu s Deloitte CE uputama, pravilima i primjenjivim zakonima. Deloitte CE nositelj je certifikata ISO 27001 – široko priznatog globalnog informacijskog standarda:

https://resources.deloitte.com/sites/centraleurope/quality/Pages/Security.aspx

F.

Prava ispitanika

Zaposlenik ima pravo na:

  • povući svoj pristanak u bilo kojem trenutku bez štete (povlačenje privole ne utječe na zakonitost obrade na temelju privole dane prije njezina povlačenja),
  • zatražiti pristup svojim osobnim podacima (i zatražiti presliku osobnih podataka koje Poslodavac obrađuje),
  • zatražiti od Poslodavca da ažurira i ispravi svoje osobne podatke (pravo na ispravak),
  • zatražiti od Poslodavca da izbriše svoje osobne podatke (ako je to moguće), ili
  • zahtijevati ograničenje obrade njegovih podataka.

Zaposlenik može uložiti prigovor na obradu (u određenim slučajevima kako je određeno GDPR-om), kao i izvršiti svoje pravo na prenosivost podataka (primiti kopiju osobnih podataka koje je Zaposlenik dostavio Poslodavcu u strukturiranom strojno – čitljivom formatu i zatražiti od Poslodavca da takve podatke prenese drugom primatelju podataka).

Zaposlenik može ostvariti sva ovdje opisana prava slanjem e-maila na: CESouthHRTeam@deloitte.com ili pisanu obavijest na adresu: naziv Poslodavca, Radnička cesta 80, 10 000 Zagreb, Hrvatska.

Zaposlenik se također može obratiti CEprivacy@deloittece.com za sva pitanja vezana uz obradu svojih osobnih podataka, uključujući sigurnosne zaštitne mjere prilikom prijenosa podataka izvan regije EU-a.

Također je pravo svakog Zaposlenika da podnese pritužbu lokalnom nadzornom tijelu za zaštitu podataka u zemlji svog prebivališta u slučaju da Zaposlenik smatra da se obradom njegovih osobnih podataka krši GDPR.

G.

Zaposlenik potvrđuje da je obaviješten o:

  • svojim pravima koja proizlaze iz Uredbe o osobnim podacima i drugog relevantnog zakonodavstva; i
  • činjenicu da je pružanje osobnih podataka pod ovom privolom na dobrovoljnoj osnovi.

H.

Zaposlenik može dati suglasnost Poslodavcu za snimanje, objavljivanje i obradu fotografija ili audio i video snimaka Zaposlenika putem sljedećih platformi u skladu s važećim zakonima (Zaposlenik može birati između dolje navedenih opcija označiti okvire(e) na platformi za uključivanje):

  • društvene mreže (npr. LinkedIn, Facebook, Instagram) - Zaposlenik je svjestan da je obrada regulirana Uvjetima i odredbama odgovarajućeg pružatelja web stranica
  • vanjske web stranice (www.deloitte.com) i druge web stranice koje pruža Deloitte
  • intranet i uredski plazma TV

 

1 Deloitte odnosi se na jedan ili više Deloitte Touche Tohmatsu Limited, privatnu tvrtku iz Velike Britanije ograničena jamstvom ("DTTL"), njezinu mreža tvrtki članica i njihovih povezanih subjekata. Deloitte Srednja Europa ("Deloitte CE") odnosi se na regionalnu organizaciju subjekata organiziranih pod okriljem Deloitte Central Europe Holdings Limited, tvrtke članice DTTL. DTTL i svaka od njegovih tvrtki članica pravno su odvojeni i neovisni subjekti. Poslodavac je podružnica ili povezana tvrtka Deloitte CE.

2 Imajte na umu da se privola ne odnosi na sljedeću svrhu: podršku i promicanje usluga koje Poslodavac i Deloitte CE pružaju svojim klijentima, u ovom slučaju pravna osnova obrade je ugovor o radu između Zaposlenika i Poslodavca (dio odgovarajućeg opisa posla npr. dokumentacija posvećena klijentu i.a. prijedlozi, ponude, ulazne i sigurnosne kartice/značke itd.).

3 Deloitte odnosi se na jedan ili više Deloitte Touche Tohmatsu Limited,, privatna tvrtka iz Velike Britanije ograničena jamstvom ("DTTL"), njezina mreža tvrtki članica i njihovi povezani subjekti. Deloitte Srednja Europa ("Deloitte CE") odnosi se na regionalnu organizaciju subjekata organiziranih pod okriljem Deloitte Central Europe Holdings Limited, tvrtke članice od DTTL. DTTL i svaka od njegovih tvrtki članica pravno su odvojeni i neovisni subjekti. Poslodavac je podružnica ili povezana tvrtka Deloitte CE.

 

Did you find this useful?