Politika zaštite osobnih podataka BONTECH d.o.o.
Datum: 15.3.2018.

POLITIKA ZAŠTITE OSOBNIH PODATAKA
BONTECH d.o.o.

V 1.0

U Splitu, 15.3.2018.

SADRŽAJ
I. POJMOVNIK
II. TEMELJNE ODREDBE
III. OPSEG I CILJ
IV. NAČELA OBRADE PODATAKA
V. ZAKONITOST OBRADE
VI. PRAVA ISPITANIKA
VII. OBVEZE BONTECH d.o.o. SUKLADNO UREDBI
VIII. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA
IX. AUTOMATSKA OBRADA PODATAKA
X. PRIJENOS OSOBNIH PODATAKA
XI. KORIŠTENJE OSOBNIH PODATAKA U POSLOVANJU S POSLOVNIM KORISNICIMA
XII. SLUŽBENIK ZA ZAŠTITU PODATAKA (DPO)
XIII. PROCJENA UČINKA
XIV. REGISTAR OBRADA OSOBNIH PODATAKA
XV. INCIDENTI/CURENJE PODATAKA I PRAVO NA PRITUŽBU
XVI. ZAVRŠNE ODREDBE

Na temelju Opće uredbe u zaštiti podataka (Uredba EU 2016/679), BONTECH d.o.o. 20.3.2018. godine donosi dokument

POLITIKA ZAŠTITE OSOBNIH PODATAKA

I. POJMOVNIK

Osobni podatak – podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik“)
Ispitanik – jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
Obrada osobnih podatka – svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
Voditelj obrade – znači fizička ili pravna osoba, koja samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;
Izvršitelj obrade – znači fizička ili pravna osoba, koja obrađuje osobne podatke u ime voditelja obrade;
Informacijski sustav – sveobuhvatnost tehnološke infrastrukture, organizacije, ljudi i postupaka za prikupljanje, obradu, generiranje, pohranu, prijenos, prikaz te distribuciju informacija kao i raspolaganje njima. Informacijski sustav moguće je definirati i kao međudjelovanje informacijske tehnologije, podataka i postupaka za procesiranje podataka te ljudi koji prikupljaju navedene podatke i njima se koriste.
Nadzorno tijelo – neovisno tijelo javne vlasti koje je osnovala Republika Hrvatska u svrhu kontrole i osiguranja provođenja Uredbe
Povjerljivost – svojstvo informacija (podataka) da nisu dostupne ili otkrivene neovlaštenim subjektima.
Integritet – svojstvo informacija (podataka) i procesa da nisu neovlašteno ili nepredviđeno mijenjani.
Privola – svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
Pseudonimizacija – obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
Povreda osobnih podataka – znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
Izrada profila – svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca
Treće strane –fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade
Distributivni kanali – predstavljaju sredstva i načine preko kojih je omogućen pristup, ugovaranje, korištenje proizvoda i usluga BONTECH d.o.o. te slanje komercijalnih informacija i ponuda vezanih uz proizvode i usluge BONTECH d.o.o., a obuhvaćaju poslovnice BONTECH d.o.o. i ugovornih partnera, web stranicu BONTECH d.o.o.: www.bontech.hr, te ostalo.
Informacija, o dostupnim distributivnim kanalima BONTECH d.o.o., je klijentu u svakom trenutku dostupna pozivom u INFO TELEFON.
Obvezujuća korporativna pravila – politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar BONTECH d.o.o. poduzetnika ili BONTECH d.o.o. poduzeća koja se bave zajedničkom gospodarskom djelatnošću

II. TEMELJNE ODREDBE

U smislu ove politike BONTECH d.o.o. , sve poslovnice-maloprodajne lokacije i web stranica.
Zaštita podataka zauzima značajno mjesto u poslovanju BONTECH d.o.o. (u daljnjem tekstu: BONTECH d.o.o. ) koja u svom svakodnevnom poslovanju prikuplja i obrađuje osobne podatke klijenata, zaposlenika, poslovnih partnera ili drugih osoba s kojima ostvaruje poslovnu suradnju (u daljnjem tekstu: ispitanici).
Ovom Politikom se definiraju osnovna načela i pravila zaštite osobnih podataka u skladu s poslovnim i sigurnosnim zahtjevima BONTECH d.o.o. , kao i zakonskim propisima, najboljim praksama i međunarodno prihvaćenim standardima.
Politika zaštite osobnih podataka (u daljnjem tekstu: Politika) je temeljni akt koji opisuje svrhu i ciljeve prikupljanja, obrade i upravljanja osobnim podacima unutar BONTECH d.o.o. , a koji se temelji na vodećim svjetskim praksama iz područja zaštite osobnih podataka. Politika osigurava adekvatnu razinu zaštite podataka u skladu s Općom uredbom o zaštiti podataka1 (u nastavku: Uredba) i drugim primjenjivim važećim zakonima vezanim uz zaštitu osobnih podataka što BONTECH d.o.o. dodatno osigurava detaljnim internim Aktima.
Sve članice BONTECH d.o.o. usvojile su ovu Politiku.

III. OPSEG I CILJ

Politika zaštite osobnih podataka je temeljni akt BONTECH d.o.o. koji za svrhu ima uspostavljanje okvira zaštite osobnih podataka sukladno Općoj uredbi o zaštiti podataka. Politika utvrđuje pravila povezana sa zaštitom pojedinaca u pogledu prikupljanja i obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.
Cilj Politike je uspostaviti primjerene procese zaštite i upravljanja osobnim podacima ispitanika, odnosno klijenata, zaposlenika, poslovnih partnera članica BONTECH d.o.o. i drugih osoba čiji se osobnih podaci obrađuju.
Politika se primjenjuje na sve obrade osobnih podataka unutar BONTECH d.o.o., osim u slučajevima gdje se obrađuju anonimizirani podaci ili su obrade takve prirode da se radi o statističkim analizama iz kojih nije moguće identificirati pojedinca.
1 UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ

IV. NAČELA OBRADE PODATAKA

Načela obrade podataka su osnovna pravila kojih se BONTECH d.o.o. pridržava prilikom obrade osobnih podataka ispitanika, a obrade koje se provode sukladno niže navedenim načelima smatraju se zakonitima.
Svaka organizacijska jedinica BONTECH d.o.o. dužna je osigurati pridržavanje niže navedenih načela unutar vlastite domene i prilikom obrade osobnih podataka za koje je organizacijska jedinica voditelj obrade.

BONTECH d.o.o. osobne podatke obrađuje u skladu sa sljedećim načelima obrade:
1. Zakonito i pošteno – s obzirom na ispitanike i njihova prava, BONTECH d.o.o. će obrađivati osobne podatke ispitanika sukladno važećim zakonima i pokrivajući sva prava ispitanika. BONTECH d.o.o. će ponekad ispitanike morati pitati i za neke osobne podatke koji nisu potrebni za ostvarenje konkretne usluge, no Zakonom su obvezni za prikupljanje (npr. Zakon o sprečavanju pranja novca i financiranja terorizma). U skladu s tim, unutar BONTECH d.o.o. definirana su jasna pravila i procesi kako bi se osigurala zakonita i poštena obrada, a uspostavljeni su i kontrolni mehanizmi (npr. periodične revizije, tehničke mjere).
2. Transparentno – BONTECH d.o.o. će osigurati transparentnost obrada osobnih podataka te će, sukladno Uredbi, pružiti ispitanicima sve potrebne informacije i na zahtjev osigurati ispitanicima uvid u njihove podatke, obrazloženja obrada, temelje i zakonitosti obrade i sl. Kroz ovu Politiku, ali i kroz druge kanale koje će biti dostupni ispitanicima, BONTECH d.o.o. će osigurati informacije ispitanicima kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Ispitanik će biti pravovremeno, odnosno prije samog prikupljanja podataka, upoznat sa svim relevantnim informacijama.
3. Uz ograničenje svrhe – osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Primjerice, ako je ispitanik ustupio set osobnih podataka (npr. ime, prezime, OIB, visina primanja i sl.) u svrhu realizacije zahtjeva za kredit, BONTECH d.o.o. iste podatke neće obrađivati neku drugu svrhu, osim ako postoje druge obrade koje su uvjetovane zakonom ili su neophodne za kvalitetno isporučivanje same usluge.
4. Uz ograničenje pohrane – BONTECH d.o.o. osigurava da su osobni podaci ispitanika čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. BONTECH d.o.o. osobne podatke može pohraniti i dulje, ali za to mora imati jasnu svrhu u smislu zakonske obveze (npr. Zakona o arhivskom gradivu i arhivima) ili legitimni interes (npr. u slučaju sudskog spora)
5. Koristeći samo potrebne podatke (smanjenje količine podataka) – BONTECH d.o.o. osobne podatke prikuplja i obrađuje na način da su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. Procesi u BONTECH d.o.o. su dizajnirani na način da se ne prikupljaju podaci za koje ne postoji opravdana potreba za prikupljanjem i svaka članica BONTECH d.o.o., odnosno svaka organizacijska jedinica unutar članica BONTECH d.o.o., osigurava da se ovo načelo adekvatno primjenjuje.
6. Točnost – BONTECH d.o.o. osigurava da su podaci točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave. BONTECH d.o.o. osigurava primjenu ovog načela na način da je uspostavila redovite kontrole, ali i transparentan proces komunikacije s ispitanicima kroz koji se može zatražiti ispravak podataka u slučaju da ispitanik primijeti da neki od njegovih osobnih podataka nije ispravno naveden.
7. Osigurava sigurnost, nadzor i kontrolu nad podacima i obradama podataka (Cjelovitost i povjerljivost) – BONTECH d.o.o. prikuplja i obrađuje podatke na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. BONTECH d.o.o. je implementirala IT sustave koji imaju za cilj detekciju i sprječavanja curenja podataka, sustave za anonimizaciju/pseudonimizaciju podataka, metode nadzora nad pristupom podataka, ograničenja pristupa podacima sukladno potrebi radnog mjesta i sl.

Sukladno navedenim načelima, podacima ispitanika pristupat će djelatnici BONTECH d.o.o. ovisno o njihovim ovlaštenjima i radnim mjestima, kako bi uspješno ispunili poslove definirane za njihovo radno mjesto. Također dio usluga za BONTECH d.o.o. obavljaju i druge pravne osobe s kojima će podaci ispitanika biti podijeljeni samo ako su oni nužni za potrebe ispunjenja obveza iz zajedničkih Ugovora.
Primjer toga je SLANJE OBAVIJESTI, INFORMACIJA i MEDICINSKIH POMAGALA na kućne adrese.
BONTECH d.o.o. će podatke ispitanika proslijediti državnim institucijama u slučaju kada za to postoji zakonska osnova (primjerice za potrebe HZZO-a).

V. ZAKONITOST OBRADE

BONTECH d.o.o. osobne podatke ispitanika smatra njihovim vlasništvom te se prema njima tako i odnosi. Međutim, kako bi BONTECH d.o.o. bila u mogućnosti pružiti uslugu ispitaniku, a sukladno niže navedenim zakonitostima, potrebno je obrađivati minimalan set podataka neophodan za kvalitetno pružanje pojedine usluge. U suprotnom, odnosno ako ispitanik odbije ustupiti traženi set podataka, BONTECH d.o.o. neće biti u mogućnosti pružiti mu uslugu.
Sukladno tome, osobni podaci ispitanika obrađuju se kada je zadovoljen jedan od niže navedenih uvjeta:
a) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
b) obrada je nužna radi poštovanja pravnih obveza BONTECH d.o.o. (važeći zakonski propisi prema kojima je BONTECH d.o.o. dužan postupati) – u svakom trenutku kada zakon BONTECH d.o.o. ovlašćuje ili obvezuje na određenu obradu, BONTECH d.o.o. će temeljem tog zakona obrađivati osobne podatke ispitanika. Na primjer, u slučaju postojanja zakonske obveze, kao što je Zakon o zdravstvenoj zaštiti , BONTECH d.o.o. će prikupljati i obrađivati zakonski definiran set podataka, te u slučaju da ispitanik odbije ustupiti traženi set podataka, BONTECH d.o.o. neće biti u mogućnosti pružiti mu uslugu.
c) obrada je nužna za potrebe legitimnih interesa BONTECH d.o.o. ili treće strane – osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Pod legitimnim interesom BONTECH d.o.o. podrazumijeva obrade koje služe kako bi se unaprijedio proces, razvoj proizvoda i unapređenje poslovanja, modernizirale usluge, ponudili proizvodi i usluge za koje je razvidno da bi mu olakšale poslovanje s BONTECH d.o.o., unaprijedilo njegovo upravljanje vlastitim financijama te u korist rješavanja sudskih sporova.
d) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola mora biti dokaziva i dobrovoljna, napisana lako razumljivim jezikom i ispitanik ima pravo u svakom trenutku povući svoju privolu (povlačenje privole mora biti jednako jednostavno kao i davanje privole). BONTECH d.o.o. će ispitanika zatražiti privole za obrade podataka i kontaktiranje zbog potreba direktnog marketinga putem kontakt podatka koje je ispitanik ustupio BONTECH d.o.o.. Prezentaciju novih proizvoda i usluga, nedostupnosti određene usluge koje BONTECH d.o.o. komunicira putem dostupnih distributivnih kanala BONTECH d.o.o. smatra dijelom usluge te za to neće zatražiti privolu ispitanika dok je sama obrada u skladu s načelima obrade navedenih u točku V. te se temelji na nekoj od navedenih zakonitosti obrade.
e) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
f) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
Svaka organizacijska jedinica unutar BONTECH d.o.o. dužna je identificirati zakonitost za svaku obradu koja je u njihovoj poslovnoj domeni. Pri identifikaciji zakonitosti obrade konzultirat će se Službenik za zaštitu osobnih podataka koji će prema jasnim i unaprijed definiranim kriterijima savjetovati organizacijsku jedinicu prilikom identifikacije zakonitosti obrada.

VI. PRAVA ISPITANIKA

BONTECH d.o.o. je svjesna kako su osobni podaci ispitanika njegovo vlasništvo te iako su nam ti podaci neophodni za pružanje usluge, ispitanici u svakom trenutku zadržavaju određena prava u odnosu na obrade njihovih podataka te BONTECH d.o.o. podatke prikuplja i obrađuje samo uz postojanje gore navedenih zakonitosti obrade.
BONTECH d.o.o. će u trenutku prikupljanja informacija od ispitanika pružiti sljedeće informacije:
identitet i kontaktne podatke voditelja obrade,
kontaktne podatke službenika za zaštitu podataka,
svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i
pravnu osnovu za obradu,
legitimne interese, primatelje ili kategorije primatelja osobnih podataka,
namjeru prijenosa osobnih podataka trećim zemljama (ako postoji),
razdoblje pohrane podataka ili kriterije koji definiraju to razdoblje,
prava vezana uz privole,
potencijalno postojanje automatiziranog donošenja odluka što podrazumijeva i izradu profila (smislene informacije o kojoj je logici obrade riječ te potencijalnim posljedicama i važnosti same obrade za ispitanika) te postojanje niže navedenih prava.
U slučaju da se podaci ne prikupljaju izravno od ispitanika, uz navedene podatke navodi se i izvor osobnih podataka.
BONTECH d.o.o. osobne podatke obrađuje sukladno pravima ispitanika definiranim unutar Uredbe, a koja su navedene u nastavku:
Pravo na brisanje („pravo na zaborav“) – ispitanik ima pravo od BONTECH d.o.o. ishoditi brisanje osobnih podataka koji se na njega odnose, a BONTECH d.o.o. ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
a. osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni
b. ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga pravna osnova za obradu
c. ispitanik uloži prigovor na obradu, a legitimni razlozi za realizaciju prava na brisanje imaju veću težinu od legitimnog interesa BONTECH d.o.o. za obradu i/ili čuvanje osobnih podataka
d. osobni podaci nezakonito su obrađeni
e. osobni podaci moraju se brisati radi poštovanja pravne obveze
Pravo na pristup podacima – ispitanik ima pravo dobiti od BONTECH d.o.o. potvrdu obrađuju li se njegovi osobni podaci te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i svrsi obrade, kategorijama podataka, potencijalnim primateljima kojima će osobni podaci biti otkriveni, i sl.
Pravo na ispravak – ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od BONTECH d.o.o. ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave. Dodatno, ispitanici imaju obvezu ažuriranja osobnih podataka u poslovnom odnosu s Grupom.
Pravo na prijenos podataka – ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio BONTECH d.o.o. u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade. Potrebno je uzeti u obzir da se pravo prijenosa odnosi isključivo na osobne podatke ispitanika.
Pravo na prigovor – ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega.
BONTECH d.o.o. u takvoj situaciji više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Nadalje, ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom
Pravo na ograničenje obrade – ispitanik ima od BONTECH d.o.o. pravo tražiti pravo na ograničenje obrade u slučaju da osporava točnost osobnih podataka, kada smatra da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto toga traži ograničenje njihove uporabe, te u slučaju kada je ispitanik uložio prigovor na obradu i očekuje potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika
Ispitanik ima pravo u svakom trenutku zahtijevati realizaciju bilo kojeg od gore navedenih prava. BONTECH d.o.o. ispitaniku na zahtjev pruža informacije o poduzetim radnjama vezanim uz navedena prava, najkasnije u roku od 3 mj. od zaprimanja zahtjeva (ovisno o količini i kompleksnosti zahtjeva) – svi zahtjevi će se pokušati adresirati unutar 1 mjeseca te će rok produljiti najviše za dodatna 2 mjeseca kada je to nužno.
Ako BONTECH d.o.o. ne postupi po zahtjevu ispitanika, bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvijestit će ispitanika o razlozima zbog kojih nije postupila.
Razlozi za ne postupanje podrazumijevaju postojanje zakonitosti obrade koja BONTECH d.o.o. onemogućava u postupanju.
Dodatno, ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu, osim ako je ta odluka:
– potrebna za sklapanje ili izvršenje ugovora između ispitanika i BONTECH d.o.o.
– dopuštena zakonom
– temelji na izričitoj privoli ispitanika

VII. OBVEZE BONTECH D.O.O. SUKLADNO UREDBI

Pojedine članice BONTECH d.o.o. sukladno Uredbi na sebe preuzimaju određene obveze. Same obveze ovise o ulozi u kojoj se pojedina članica BONTECH d.o.o. nalazi u odnosu na određenu obradu podataka. Članice BONTECH d.o.o. se u nekim poslovnim procesima pojavljuju kao voditelj, u drugima kao zajednički voditelj obrade, a mogu biti i u ulozi izvršitelja obrade. Pojedina članice BONTECH d.o.o. je voditelj obrade u poslovnim procesima gdje je samostalno odredila svrhu i način obrade podataka dok je zajednički voditelj obrade u poslovnim procesima gdje s drugim voditeljima, npr. poslovnim partnerima čije proizvode i usluge ugovara u svojoj poslovnoj mreži, određuje svrhu i načine obrade osobnih podatka klijenata. Pojedina članica BONTECH d.o.o. može biti i izvršitelj obrade u situacijama u kojima obrađuje podatke u ime voditelja obrade (npr., članica BONTECH d.o.o. ugovara usluge za drugu pravnu osobu).
BONTECH d.o.o. kontinuirano provodi odgovarajuće tehničke i organizacijske mjere zaštite uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode ispitanika.
Spomenute mjere uključuju provedbu odgovarajućih politika zaštite podataka:
– Osobni podaci ispitanika čuvaju se u skladu s internim standardima sigurnosti BONTECH d.o.o. . BONTECH d.o.o. kontinuirano poduzima značajne organizacijske i tehničke mjere kako bi zaštitila osobne, a i sve ostale, podatke ispitanika. Gdje je to primjenjivo, BONTECH d.o.o. primjenjuje kriptografske metode zaštite podataka te se kontinuirano radi na unaprjeđenju sigurnosnih mjera na razini BONTECH d.o.o. . Uz navedeno, koriste se napredni alati za zaštitu i sprječavanje curenja podataka, nadziru se kritični sustavi unutar BONTECH d.o.o. i sl.
– BONTECH d.o.o. ne dopušta neovlašteno prikupljanje, obradu ili korištenje osobnih podataka. Primjenjuje se pravilo ograničavanja pristupa podacima samo na one podatke koji su potrebni za obavljanje pojedinih poslovnih zadataka. U skladu s tim, jasno su definirane uloge i odgovornosti unutar BONTECH d.o.o..

Zaposlenicima BONTECH d.o.o. je strogo zabranjeno korištenje osobnih podataka ispitanika u bilo koju svrhu koja nije u skladu s uvjetima definiranim u poglavlju IV. Zakonitost obrade.
Dodatno je potrebno naglasiti da pojedine organizacijske jedinice unutar članica BONTECH d.o.o., a sukladno važećim zakonima (npr. Zakon o sprječavanju pranja novca i financiranja terorizma) imaju pravo uvida i obrade dijela osobnih podataka, ali isključivo u opsegu koji je potreban da bi se ispunili regulatorni zahtjevi ili kako bi se izvršio Ugovor s ispitanikom. Ti procesi su pod strogom kontrolom i obuhvaćeni su sustavima za nadzor.
– Osobni podaci se štite od neovlaštenog pristupa, korištenja, izmjene te gubitka. Mehanizmi zaštite se primjenjuju na osobne podatke unutar BONTECH d.o.o. bez obzira u kojem se obliku oni čuvaju – papirnatom ili elektroničkom.
– Pridržavanje ove Politike te ostalih politika i procedura vezanih uz zaštitu podataka se također redovito provjerava unutar BONTECH d.o.o., a provjeru provodi Službenik za zaštitu podataka

VIII. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

BONTECH d.o.o. ne obrađuje podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu ili seksualnoj orijentaciji pojedinca.
Obrada gore navedenih posebnih kategorija osobnih podataka provodit će se od strane BONTECH d.o.o. iznimno u sljedećim uvjetima:
– ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha
– obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava BONTECH d.o.o. ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Europske Unije, Prava Republike Hrvatske ili kolektivnog ugovora u skladu s Pravom Republike Hrvatske koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika
– obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca
– obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik
– obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva

BONTECH d.o.o. posebno štiti osobne podatke djece, budući da djeca mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka.
Djecom se smatraju osobe mlađe od šesnaest godina.

IX. AUTOMATSKA OBRADA PODATAKA

Donošenje odluka temeljem automatske obrade podataka je sastavni dio poslovanja BONTECH d.o.o. i kao takva je neophodna, a provodi se sukladno:
– osiguravanja sigurnosti i pouzdanosti usluge koju pruža BONTECH d.o.o.
– ako je nužno za sklapanje ili izvršavanje ugovora između ispitanika i voditelja obrade što uključuje umanjenje rizika u poslovanju, unaprjeđenje poslovanja
– kada je ispitanik izričito dao svoju privolu.

U skladu s Uredbom, BONTECH d.o.o. omogućava ispitanicima pravo prigovora na automatsku, ali i ručnu, obradu podataka u svrhu izravnog marketinga, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno.

X. PRIJENOS OSOBNIH PODATAKA

BONTECH d.o.o. čini jednu cjelinu te članice BONTECH d.o.o. surađuju na više razina u svrhu pružanja što kvalitetnije i povoljnije usluge. Kako bi se ova suradnja mogla odvijati nesmetano postoji potreba za razmjenom osobnih podataka klijenata unutar BONTECH d.o.o..
Članice BONTECH d.o.o. međusobno razmjenjuju osobne podatke ako je to potrebno kako bi se ispitaniku pružila usluga koju je zatražio, odnosno samo ako postoji potreba temeljem uvjeta navedenih u poglavlju IV. Zakonitost obrade ili za potrebe poslova koje su članice BONTECH d.o.o. povjerile Banci, a što je regulirano posebnim ugovorima.
Dodatno, na zahtjev ispitanika prijenos osobnih podataka je moguć i partnerima BONTECH d.o.o. kojima je povjereno obavljanje određenih usluga u ime pojedine članice BONTECH d.o.o.. Prilikom prijenosa podataka ispitanika BONTECH d.o.o. vanjskim partnerima strogo se poštuje načelo ograničenja obrade uz prijenos minimalne količine podataka koja je potrebna kako bi se realizirala tražena usluga. Dodatno, BONTECH d.o.o. je uspostavila kontrolne mehanizme koji od partnera zahtijevaju minimalno jednaku razinu zaštite osobnih podataka kao i unutar članica BONTECH d.o.o..

Prema potrebi, a isključivo temeljem uvjeta navedenih u poglavlju IV. Zakonitost obrade, BONTECH d.o.o. podatke prenosi trećim zemljama ili međunarodnim organizacijama. U takvim situacijama se primjenjuju dodatne kontrole i zaštitne mjere za iznošenje osobnih podataka sukladno Uredbi. Te mjere mogu podrazumijevati pravno obvezujući i provedivi instrument, obvezujuća korporativna pravila, certificiranje i sl.

XI. KORIŠTENJE OSOBNIH PODATAKA U POSLOVANJU S POSLOVNIM KORISNICIMA

Poslovni korisnici unutar BONTECH d.o.o. mogu biti svaka pravna osoba, tijelo državne vlasti, jedinica lokalne ili područne samouprave te njihova tijela, udruga i društvo (sportsko, kulturno, dobrotvorno i sl.), kao i svaka fizička osoba (nepotrošač) koja djeluje unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja.
BONTECH d.o.o. prikuplja i obrađuje podatke o poslovnim korisnicima, transakcijama, korištenju proizvoda i usluga i osobne podatke fizičkih osoba (nepotrošača) koje djeluju unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja te osobne podatke fizičkih osoba (potrošača) koje su povezane s poslovnim korisnicima.
Povezane osobe s poslovnim korisnikom u kontekstu ove Politike mogu biti fizičke osobe vlasnici poslovnog korisnika, osobe ovlaštene za zastupanje poslovnog korisnika, prokuristi, opunomoćenici poslovnog korisnika, predstavnici poslovnog korisnika, opunomoćenici po transakcijskom računu, korisnici usluga elektroničkog BONTECH d.o.o. rstva, korisnici poslovnih kartica, jamci, sudužnici, založni dužnici i druge fizičke osobe čije je osobne podatke poslovni korisnik dao BONTECH d.o.o. na korištenje za svrhe uspostave i održavanja poslovnog odnosa.
BONTECH d.o.o. prikuplja, obrađuje i dijeli podatke o poslovnim korisnicima koji uključuju osobne podatke poslovnih korisnika i povezanih osoba u skladu sa zakonitostima iz točke V. Zakonitost obrade ove Politike.
Članice BONTECH d.o.o. možu obrađivati prikupljene podatke poslovnih korisnika koji uključuju osobne podatke fizičkih osoba (nepotrošača) koje djeluju unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja i povezanih osoba koje joj je na korištenje dao poslovni korisnik za sljedeće slučajeve:
 Utvrđivanje identiteta
 Procjena rizika uspostave i održavanja poslovnog odnosa
 Prevencija rizika koji mogu proizaći iz poslovnog odnosa
 Usklađivanje sa zakonskim i regulatornim propisima unutar i izvan područja Republike Hrvatske
 Ugovaranje i korištenje proizvoda i usluga koje BONTECH d.o.o. pruža
 Izvršenje svih vrsta bankovnih transakcija unutar i izvan područja Republike Hrvatske
 Utvrđivanje kreditne sposobnosti
 Naplata potraživanja
 Izvještavanje
 Statističke obrade
 Razvijanje i poboljšanje proizvoda i usluga kako bi poslovnim korisnicima omogućili bolje iskustvo korištenja
 Definiranje proizvoda i usluga koji bi poslovnim korisnicima BONTECH d.o.o. bili od koristi
 Kontaktiranje u svrhe ispunjenja ugovornih odnosa unutar BONTECH d.o.o.
 Kontaktiranje u marketinške svrhe.
BONTECH d.o.o. može podijeliti podatke o poslovnim korisnicima koji uključuju osobne podatke fizičkih osoba (nepotrošača) koje djeluju unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog zanimanja i povezanih osoba koje joj je na korištenje dao poslovni korisnik uz zadovoljenje zakonitosti obrada definiranih u točci V. Zakonitost obrade te sukladno načelima obrade definiranim u točci IV. Načela obrade podataka i to prema:
 Nekoj od članica BONTECH d.o.o.
 Zakonodavnim, nadzornim i regulatornim tijelima unutar i izvan područja Republike HrvatskeBONTECH d.o.o. surađuje
 Institucijama koje pružaju usluge provjera Embargo lista
 Ministarstvima, jedinicama lokale i područne samouprave s kojima BONTECH d.o.o. surađuje
 Hrvatskom registru obveza po kreditima i ostalim kreditnim registrima
 Revizorima unutar i izvan BONTECH d.o.o. te ostalim tijelima koji su ovlašteni za reviziju
 Kartične kuće i kartični procesori s kojima BONTECH d.o.o. surađuje
 Ostale agencije, institucije, udruge, osiguravajuće kuće i tvrtke partneri s kojima BONTECH d.o.o. ima sklopljen ugovor o poslovnoj suradnji temeljem kojeg poslovni korisnici mogu ugovarati i koristiti proizvode i usluge koje BONTECH d.o.o. pruža Itd.

XII. SLUŽBENIK ZA ZAŠTITU PODATAKA (DPO)

BONTECH d.o.o. je imenovala Službenika za zaštitu podataka koji je neovisan i kao takav djeluje u interesu zaštite prava ispitanika i njihovih osobnih podataka. Njegova je odgovornost da se unutar BONTECH d.o.o. primjenjuje Politika zaštite osobnih podataka te ostale politike i procedure koje definiraju pravila postupanja prilikom prikupljanja i obrade osobnih podataka ispitanika. On je na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka. Sudjeluje u procesima BONTECH d.o.o. koji se odnose na upravljanje promjenama i projektima što mu omogućuje pravovremeni pristup informacijama
Službenik za zaštitu osobnih podataka izravno odgovara najvišoj rukovodećoj razini BONTECH d.o.o. i obvezan je tajnošću ili povjerljivošću u vezi s obavljanjem svojih zadaća. Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće u HPB BONTECH d.o.o.:
– informiranje i savjetovanje BONTECH d.o.o. te zaposlenika koji obavljaju obradu o njihovim obvezama iz Uredbe te drugim odredbama Europske unije ili Republike Hrvatske o zaštiti podataka;
– praćenje poštovanja Uredbe te drugih odredaba Europske Unije ili Republike Hrvatske o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;
– pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
– suradnja s nadzornim tijelom;
– djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, te savjetovanje, prema potrebi, o svim drugim pitanjima
Službenik za zaštitu osobnih podataka ne prima nikakve upute u pogledu izvršenja navedenih zadaća što mu dodano osigurava neovisnost.
Službenik za zaštitu osobnih podataka je ujedno i primarna točka za kontakt ispitanicima koji žele ostvariti svoja prava (pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz Uredbe), poslati upit vezan uz zaštitu osobnih podataka, zatražiti dodatne informacije, izraziti brigu oko obrade njihovih osobnih podataka, podnijeti prigovor vezano uz zaštitu osobnih podataka te ostvarivanja svojih prava iz Opće uredbe o zaštiti podataka. Ispitanici mogu Službenika za zaštitu osobnih podataka kontaktirati putem email adrese privola@bontech.hr.
BONTECH d.o.o. ima pravo odbiti postupiti po zahtjevu ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, a osobito zbog njihovog učestalog ponavljanja.
Kontakt podaci Službenika za zaštitu osobnih podataka dostupni su i na Internet stranicama
BONTECH d.o.o., www.bontach.hr.

XIII. PROCJENA UČINKA

Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode ispitanika, pojedina članica BONTECH d.o.o. prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka, ako je u ulozi voditelja obrade.
Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike. Dodatno, BONTECH d.o.o. će provesti procjenu učinka na sve obrade koje su trenutno aktivne, a odgovaraju navedenim kategorijama.
Svaka pojedina organizacijska jedinica unutar članica BONTECH d.o.o. dužna je provoditi procjenu učinka sukladno gore navedenim kriterijima i primjenjivim interno definiranim pravilnicima i procedurama. Organizacijske jedinice bi trebale kontaktirati službenika za zaštitu osobnih podataka u slučaju da nisu sigurni treba li provesti procjenu učinka na određenu obradu podataka ili ne.
Službenik za zaštitu osobnih podataka odgovoran je da osigura provedbu „procjene učinka na zaštitu podataka“, odnosno da bude podrška prilikom izrade procjene. BONTECH d.o.o. obvezno provodi procjenu učinka na zaštitu podataka u slučaju:
– sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
– opsežne obrade posebnih kategorija osobnih podataka
– sustavnog praćenja javno dostupnog područja u velikoj mjeri
– u slučajevima obrada koje propiše nadzorno tijelo (Agencija za zaštitu osobnih podataka)
Procjena učinka sadrži minimalno:
– sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući legitimni interes BONTECH d.o.o. ;
– procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
– procjenu rizika za prava i slobode ispitanika iz stavka;
– mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba

XIV. REGISTAR OBRADA OSOBNIH PODATAKA

BONTECH d.o.o. vodi evidenciju aktivnosti obrada za koje je odgovorna, odnosno u slučajevima kada je u ulozi voditelja obrade ili zajedničkog voditelja obrade. Ta evidencija je u elektroničkom obliku i sadržava najmanje sljedeće informacije:
 ime i kontaktne podatke voditelja obrade i Službenika za zaštitu podataka;
 svrhe obrade
 opis kategorija ispitanika i kategorija osobnih podataka
 kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
 prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući ime treće zemlje ili naziv međunarodne organizacije
 predviđene rokove za brisanje različitih kategorija podataka, ako je to moguće
 opći opis tehničkih i organizacijskih sigurnosnih mjera
Službenik za zaštitu osobnih podataka odgovoran je za održavanje registra obrada, a sve organizacijske jedinice unutar BONTECH d.o.o. su odgovorne za dostavu točnih i pravovremenih informacija kako bi se registar obrada adekvatno popunio.

XV. INCIDENTI/CURENJE PODATAKA I PRAVO NA PRITUŽBU

BONTECH d.o.o. poduzima značajne procesne i tehnološke mjere kako bi zaštitila osobne podatke ispitanika. Dodatno, svi zaposlenici BONTECH d.o.o. imaju dužnost obavijestiti odgovorne osobe (prvenstveno Službenika za zaštitu podataka) u slučaju incidenta vezanog uz zaštitu osobnih podataka, a u slučaju povrede osobnih podataka BONTECH d.o.o. je incident dužna prijaviti Agenciji za zaštitu osobnih podataka unutar 72 sata nakon saznanja o povredi, ako je to izvedivo. BONTECH d.o.o. je dužna obavijestiti odgovorne osobe direktno ako je u ulozi voditelja ili zajedničkog voditelja obrade, a u ulozi izvršitelja obrade obavještavanje se provodi putem voditelja obrade koji je primarna točka za kontakt.
Također, u slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, BONTECH d.o.o. bez nepotrebnog odgađanja obavještava ispitanika o povredi osobnih podataka.

Iznimno, BONTECH d.o.o. neće obavijestiti ispitanika u slučaju povreda osobnih podataka ako je ispunjen barem jedan od sljedećih uvjeta:
– BONTECH d.o.o. je poduzela odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija
– BONTECH d.o.o. je poduzela naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika
– time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavještavanje ili slična mjera kojom se ispitanici obavještavaju na jednako djelotvoran način
Ispitanik ima pravo podnijeti pritužbu nadzornom tijelu (Agencija za zaštitu osobnih podataka) u slučaju incidenta koji se tiče njegovih osobnih podataka ili ako smatra da BONTECH d.o.o. krši njegova prava definirana Općom uredbom o zaštiti podataka.
7

XVI. ZAVRŠNE ODREDBE

Ova Politika stupa na snagu danom donošenja, a promjenjuje se od 20.05.2018. godine.