Zaštita osobnih podataka – GDPR
24.05.2018.
GDPR je Opća uredba o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja 2018. godine.
Zaštita osobnih podataka jedan je od osnovnih zadataka koje GDPR stavlja pred organizacije bilo da je riječ o osobnim podacima korisnika, klijenata ili zaposlenika. Organizacije u svakom trenutku moraju znati gdje su koji podaci te u koju svrhu se smiju koristiti. Isto tako, u slučaju da netko odluči povući privolu za korištenje njegovih osobnih podataka, organizacije moraju biti u mogućnosti učiniti to u zadanom roku.
Što je sve osobni podatak
Ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagova i kolačića na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i mnogi drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Obrada osobnih podataka
Obrada osobnih podataka trebala bi biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo, mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti. Ovom se Uredbom poštuju sva temeljna prava i uvažavaju slobode i načela priznata Poveljom koja su sadržana u ugovorima, osobito poštovanje privatnog i obiteljskog života, doma i komuniciranja, zaštita osobnih podataka, sloboda mišljenja, savjesti i vjeroispovijedi, sloboda izražavanja i informiranja, sloboda poduzetništva, pravo na učinkoviti pravni lijek i pošteno suđenje te pravo na kulturnu, vjersku i jezičnu raznolikost. Obrada obuhvaća radnje poput prikupljanja, bilježenja, čuvanja, uvida, otkrivanja, prenošenja ili uništavanja. Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik.
Prava klijenata
Banka prikuplja osobne podatke klijenata, njihovih zakonskih zastupnika ili opunomoćenika u skladu sa Zakonom o sprječavanju pranja novca i financiranja terorizma, Zakonom o kreditnim institucijama i Uredbom o zaštiti osobnih podataka, te drugim odgovarajućim propisima.
Prikupljeni osobni podaci čine zbirku osobnih podataka, a Banka je voditelj te zbirke osobnih podataka te se podaci obrađuju i koriste pošteno i zakonito u svrhu u koju su prikupljeni.
U nastavku se daje prikaz osnovnih prava klijenta i način njihova ostvarivanja u Banci:
1. PRAVO PRISTUPA INFORMACIJAMA O OSOBNIM PODACIMA: pravo podnošenja zahtjeva za pristup osobnim podacima i uvid u konkretne podatke koji se čuvaju u zbirci osobnih podataka koja se vodi u Banci.
- Zahtjevom za pristup osobnim podacima klijent može zatražiti:
- potvrdu o tome da li se osobni podaci koji se na njega odnose obrađuju ili ne;
- pristup osobnim podacima u Banci;
- uvid u konkretne podatke koji se čuvaju u zbirci osobnih podataka koja se vodi u Banci;
- dobiti informaciju o svrsi obrade;
- informaciju o kategorijama osobnih podataka koje se na njega odnose;
- dostavu ispisa podataka o tome tko je i za koje svrhe i po kojem pravnom temelju dobio na korištenje osobne podatke koji se odnose na njega;
- obavijest o logici bilo koje automatske obrade podataka koja se na njega odnosi.
Zahtjev za pristup osobnim podacima podnosi klijent, njegov zakonski zastupnik ili opunomoćenik u pisanom obliku i može se uputiti elektronskom poštom na adresu info@imexbanka.hr ili poslati poštom na adresu Imex banka d.d., Tolstojeva 6, 21 000 Split.
U zahtjevu je potrebno navesti da li se traži ostvarivanje pojedinačnog prava iz prethodne točke (npr. uvid u konkretne podatke koji se čuvaju u zbirci osobnih podataka u Banci) ili se traži ostvarivanje dva ili više prava iz prethodne točke.
Banka će u roku od 30 dana od dana zaprimanja zahtjeva (rok se može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva, a voditelj obrade obavješćuje klijenta o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja), a ovisno o traženju iz zahtjeva;
- dostaviti klijentu potvrdu o tome da li osobni podaci koji se odnose na njega obrađuju ili ne;
- dati obavijest u razumljivom obliku o podacima koji se odnose na njega, a čija je obrada u tijeku te o izvoru tih podataka;
- omogućiti uvid u evidenciju zbirke osobnih podataka te uvid u osobne podatke sadržane u zbirci osobnih podataka koji se odnose na njega te njihovo prepisivanje;
- dostaviti informaciju o svrsi obrade;
- dostaviti informacije o kategorijama osobnih podataka koje se na njega odnose;
- dostaviti ispis podataka o tome tko je i za koje svrhe i po kojem pravnom temelju dobio na korištenje osobne podatke koji se odnose na njega;
- dati obavijest o logici bilo koje automatske obrade podataka koja se na njega odnosi.
2. PRAVO NA ISPRAVAK NETOČNIH ILI NEPOTPUNIH PODATAKA koje uključuje pravo klijenta, odnosno njegovog zakonskog zastupnika ili opunomoćenika zatražiti ispravak osobnih podataka koji se na njega odnose, a za koje utvrdi da su netočni ili nepotpuni, među ostalim i davanjem dodatne izjave.
Navedeno pravo ostvaruje se podnošenjem pisanog zahtjeva u poslovnicama Banke, a Banka će o izvršenoj dopuni ili izmjeni obavijestiti klijenta najkasnije u roku od 30 dana od dana zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Voditelj obrade obavješćuje klijenta o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
3. PRAVO NA BRISANJE koje uključuje pravo klijenta, odnosno njegovog zakonskog zastupnika ili opunomoćenika zatražiti brisanje osobnih podataka koji se na njega odnose u slučaju;
- da osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;
- klijent povuče privolu na kojoj se obrada temelji,
- klijent uloži prigovor na obradu;
- osobni podaci su nezakonito obrađeni
Navedeno pravo ostvaruje se podnošenjem pisanog zahtjeva u poslovnicama Banke, a Banka će o izvršenom brisanju obavijestiti klijenta najkasnije u roku od 30 dana od dana zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Voditelj obrade obavješćuje klijenta o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja.
4. PRAVO NA OGRANIČENJE OBRADE uključuje pravo od voditelja obrade ishoditi ograničenje obrade ako;
- klijent osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnost osobnih podataka;
- obrada je nezakonita i klijent se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
- voditelj obrade više ne treba osnovne podatke za potrebe obrade, ali ih klijent traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
- klijent je uložio prigovor na obradu očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.
5. PRAVO NA PRENOSIVOST koje uključuje pravo klijenta, odnosno njegovog zakonskog zastupnika ili opunomoćenika zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade kojem su osobni podaci pruženi, ako:
- se obrada temelji na privoli ili na ugovoru i
- obrada se provodi automatiziranim putem.
Prilikom ostvarivanja svojih prava na prenosivost podataka klijent ima pravo na izravni prijenos od Banke do drugog voditelja obrade ako je to tehnički izvedivo.
6. PRAVO NA INFORMIRANOST O AUTOMATIZIRANOM DONOŠENJU ODLUKA I IZRADI PROFILA uključuje pravo klijenta zatražiti da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila osim ako je to;
- potrebno za sklapanje ili izvršenje ugovora između klijenta i Banke;
- izričita privola klijenta;
- legitimni interes klijenta.
7. PRAVO USKRATE SUGLASNOSTI ZA OBRADU OSOBNIH PODATAKA U MARKETINŠKE SVRHE uključuje pravo klijenta, njegovog zakonskog zastupnika ili opunomoćenika da uskrati suglasnost za obradu osobnih podataka u marketinške svrhe na način da odbije potpisati dio Izjave o davanju osobnih podataka a koji se odnosi na korištenje osobnih podataka u svrhu marketinga.
Isto tako, klijent, njegov zakonski zastupnik ili opunomoćenik ima pravo u svakom trenutku opozvati danu suglasnost za korištenje osobnih podataka u marketinške svrhe pisanim putem.
8. PRAVO PODNOŠENJA REKLAMACIJE/PRITUŽBE uključuje pravo klijenta da podnese prigovor/reklamaciju Banci ukoliko smatra da su povrijeđena njegova prava i ako smatra da su podaci o njemu korišteni suprotno propisima.
Reklamacija/prigovor podnosi se elektronskom poštom na adresu pohvale.prijedlozi@imexbanka.hr ili poslati poštom na adresu Imex banka d.d., Tolstojeva 6, 21000 Split.
Isto tako, svaki klijent može se obratiti i Agenciji za zaštitu osobnih podatka, na e-mail adresu: azop@azop.hr , ukoliko smatra da su povrijeđena njegova prava te ako smatra da su podaci o njemu korišteni suprotno propisima.