Pravila privatnosti

1. Uloge u obradi podataka

Uslugu Turnus pruža Valtello (dalje: „Pružatelj"), kontakt e-pošta: contact@valtello.com. Uloge u zaštiti podataka razlikuju se ovisno o vrsti podataka:

• Podaci o radnicima (raspored, smjene, odsutnosti): voditelj obrade je ustanova ili poslodavac koji koristi Turnus, jer on zapošljava radnike te određuje svrhe i sredstva obrade. Pružatelj te podatke obrađuje isključivo kao izvršitelj obrade u njegovo ime (vidi 2. točku).
• Podaci o korisničkom računu i posjetiteljima stranice (registracija, prijava, analitika): za njih je voditelj obrade Pružatelj (Valtello).

2. Izvršitelj obrade

Turnus djeluje kao izvršitelj obrade u smislu članka 28. GDPR-a: osobne podatke obrađuje isključivo prema dokumentiranim uputama voditelja obrade i u svrhu pružanja usluge raspoređivanja rada. Odnos između voditelja i izvršitelja obrade uređuje se zasebnim ugovorom o obradi podataka.

3. Pravna osnova obrade

Osobni podaci obrađuju se na sljedećim pravnim osnovama iz članka 6. GDPR-a:

• izvršavanje ugovora i poduzimanje radnji prije sklapanja ugovora (čl. 6. st. 1. t. b);
• poštivanje pravnih obveza voditelja obrade, osobito iz Zakona o radu, propisa o evidenciji radnog vremena te poreznih i mirovinskih propisa (čl. 6. st. 1. t. c);
• legitimni interes za sigurnost sustava i dokazivanje zakonitosti obrade (čl. 6. st. 1. t. f);
• privola, gdje je primjenjiva, primjerice za analitičke kolačiće (čl. 6. st. 1. t. a).

Podaci o zdravlju (primjerice bolovanje) posebna su kategorija podataka te se obrađuju samo kada je to nužno radi ispunjavanja obveza iz radnog prava, na temelju članka 9. stavka 2. točke b GDPR-a.

4. Kategorije osobnih podataka

Ovisno o ulozi i postavkama, obrađuju se sljedeće kategorije podataka:

• identifikacijski i kontaktni podaci: ime i prezime, adresa e-pošte, korisničko ime;
• podaci o radnom odnosu: radno mjesto, organizacijska jedinica, ugovoreni oblik rada;
• podaci o rasporedu: smjene, dežurstva, pripravnost, godišnji odmori i druge odsutnosti;
• podaci o zdravlju u opsegu nužnom za evidenciju odsutnosti (primjerice bolovanje), bez dijagnoze;
• tehnički podaci: zapisi prijave i revizijski trag pristupa radi sigurnosti.

5. Primatelji i podizvršitelji obrade

Osobni podaci ne prodaju se trećim stranama. Pristup imaju samo ovlaštene osobe voditelja obrade i sljedeći podizvršitelji obrade angažirani radi pružanja usluge:

• pružatelj usluge poslužitelja i pohrane podataka (hosting) u okviru Europskoga gospodarskog prostora (EGP);
• Google LLC za uslugu Google Analytics, isključivo uz privolu korisnika za analitičke kolačiće.

Korištenjem usluge Google Analytics moguć je prijenos podataka izvan EGP-a, primjerice u Sjedinjene Američke Države. Takav prijenos provodi se na temelju Standardnih ugovornih klauzula (Standard Contractual Clauses) koje je odobrila Europska komisija te uz dodatne zaštitne mjere, u skladu s poglavljem V. GDPR-a.

6. Rokovi čuvanja

Podatke o radnicima Pružatelj čuva kao izvršitelj obrade, prema uputama voditelja obrade (ustanove/poslodavca) i za vrijeme trajanja ugovora o korištenju usluge. Zakonske obveze čuvanja evidencija snosi voditelj obrade kao poslodavac (primjerice iz Zakona o radu te poreznih i mirovinskih propisa) — Pružatelj nije poslodavac radnika i nema vlastitu zakonsku obvezu njihova čuvanja.

Radi ispunjavanja obveza voditelja obrade, sustav u njegovo ime može primjenjivati uobičajene zakonske rokove, primjerice:

• evidencija radnog vremena i odsutnosti: u pravilu 6 godina;
• dokumentacija za mirovinsko osiguranje: do 40 godina, ovisno o propisima.

Konkretne rokove određuje voditelj obrade sukladno propisima koji ga obvezuju i može ih u svakom trenutku promijeniti. Po prestanku ugovora ili na uputu voditelja obrade, Pružatelj podatke vraća ili briše, osim ako poseban propis ne nalaže drukčije. Podatke o korisničkom računu Pružatelj čuva dok račun postoji te razuman rok nakon njegova zatvaranja, a revizijski trag pristupa razmjerno svrsi sigurnosti.

7. Prava ispitanika

Sukladno člancima 15. do 22. GDPR-a, ispitanik ima sljedeća prava:

• pravo na pristup svojim osobnim podacima;
• pravo na ispravak netočnih ili nepotpunih podataka;
• pravo na brisanje (pravo na zaborav), uz zakonska ograničenja;
• pravo na ograničenje obrade;
• pravo na prenosivost podataka;
• pravo na prigovor na obradu;
• pravo na povlačenje privole u svakom trenutku, bez utjecaja na zakonitost prethodne obrade.

Radnici zahtjeve za ostvarivanje prava nad podacima o radnom odnosu upućuju svom poslodavcu kao voditelju obrade; zaprimi li Pružatelj takav zahtjev izravno, prosljeđuje ga voditelju obrade. Za podatke o korisničkom računu zahtjev se može uputiti izravno Pružatelju na contact@valtello.com.

8. Kontakt za zaštitu podataka

Za sva pitanja u vezi sa zaštitom osobnih podataka i za ostvarivanje svojih prava obratite se na: contact@valtello.com.

9. Nadzorno tijelo

Ako smatrate da se vaši osobni podaci obrađuju protivno propisima, imate pravo podnijeti pritužbu nadzornom tijelu: Agencija za zaštitu osobnih podataka (AZOP), Selska cesta 136, 10000 Zagreb, Republika Hrvatska.

10. Prijava povrede osobnih podataka

Sumnju na povredu sigurnosti osobnih podataka možete prijaviti na adresu: contact@valtello.com. Povrede koje predstavljaju rizik za prava i slobode ispitanika prijavljuju se nadzornom tijelu bez nepotrebne odgode, u pravilu u roku od 72 sata.

11. Izmjene ovih pravila

Ova pravila mogu se s vremena na vrijeme izmijeniti radi usklađivanja s propisima ili promjenama u usluzi. Datum zadnje izmjene naveden je na vrhu stranice: 14. lipnja 2026..

12. Sigurnost i ograničenje odgovornosti

Primjenjujemo razumne tehničke i organizacijske mjere zaštite osobnih podataka, uključujući šifriranje osjetljivih polja (primjerice OIB-a), evidenciju pristupa i izolaciju podataka po ustanovi. Međutim, nijedan sustav prijenosa ili pohrane podataka nije potpuno siguran te se apsolutna sigurnost ne može jamčiti. Odgovornost za gubitak, oštećenje ili nedostupnost podataka te ograničenje odgovornosti uređeni su Uvjetima korištenja.