Zaštita osobnih podataka
Ostvarenje prava Ispitanika sukladno Općoj uredbi o zaštiti podataka (GDPR)
Ukoliko Ispitanik želi Banci dostaviti zahtjev za ostvarenje nekog od svojih prava u vezi obrade osobnih podataka od strane Banke, može se obratiti pisanim putem:
Službeniku za zaštitu podataka Croatia banke d.d.,
na adresu: Ulica Roberta Frangeša - Mihanovića 9, 10110 Zagreb ili
na e-mail adresu: sluzbenik_za_zastitu_osobnih_podataka@croatiabanka.hr .
Zahtjev za ostvarenje prava Ispitanik može zatražiti ispunjavanjem na za to predviđenom Obrascu zahtjeva za ostvarenje prava Ispitanika (GDPR), kojeg može dostaviti izravno Službeniku za zaštitu osobnih podataka putem gore navedenih kontaktnih podataka ili isti Obrazac može preuzeti, ispuniti i predati u bilo kojoj poslovnici ili podružnici Banke.
Detaljniji podaci o pojedinom pravu Ispitanika se mogu pronaći ovdje
Sukladno Općoj uredbi za zaštitu podataka, Banka će pružiti informacije Ispitaniku o poduzetim radnjama po njegovu zahtjevu.
Informacija se pruža najkasnije u roku od tri mjeseca od zaprimanja zahtjeva (ovisno o količini i kompleksnosti zahtjeva). Naime, svi zahtjevi će se pokušati riješiti bez odgađanja i unutar jednog mjeseca te će se rok produljiti najviše za dodatna dva mjeseca kada je to nužno.
Ako Banka ne postupi po zahtjevu Ispitanika, bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva, izvijestit će Ispitanika o razlozima zbog kojih nije postupila.
Osim navedenog zahtjeva za ostvarenje svojih prava prema Banci, ako Ispitanik smatra da Banka obradom njegovih osobnih podataka krši neku od odredbi Opće uredbe o zaštiti podataka, ima pravo podnijeti pritužbu Agenciji za zaštitu osobnih podataka, Selska cesta 136, Zagreb ili na mail adresu:
azop@azop.hr , www.azop.hr
Politika obrade i zaštite osobnih podataka Croatia banke d.d.
1. Uvodne odredbe
Članak 1.
Politika obrade i zaštite osobnih podataka Croatia banke d.d. (u daljnjem tekstu: Politika) je temeljni
akt koji opisuje svrhu i ciljeve prikupljanja, obrade i upravljanja osobnim podacima unutar Croatia
banke d.d. (u daljnjem tekstu: Banka), a koji se temelji na dobrim praksama iz područja zaštite osobnih
podataka.
Politika osigurava adekvatnu razinu zaštite podataka u skladu s Općom uredbom o zaštiti podataka (u
nastavku: Uredba ili Opća uredba o zaštiti podataka) i drugim primjenjivim važećim zakonima vezanim
uz zaštitu osobnih podataka što Banka dodatno osigurava svojim internim aktima.
Zaštita podataka zauzima značajno mjesto u poslovanju Banke, koja u svom svakodnevnom poslovanju
prikuplja i obrađuje osobne podatke klijenata, zaposlenika, poslovnih partnera ili drugih osoba s kojima
ostvaruje poslovnu suradnju (u daljnjem tekstu: ispitanici).
Ovom Politikom se definiraju osnovna načela i pravila zaštite osobnih podataka u skladu s poslovnim i
sigurnosnim zahtjevima Banke, kao i zakonskim propisima, dobrim praksama i međunarodno
prihvaćenim standardima.
2. Definicije pojedinih izraza
Članak 2.
Pojedini izrazi u ovoj Politici imaju sljedeće značenje:
Osobni podaci - jesu svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi
(„ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili
neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni
identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni,
ekonomski, kulturni ili socijalni identitet tog pojedinca;
Obrada osobnih podataka - znači svaki postupak ili skup postupaka koji se obavljaju na osobnim
podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima
kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena,
pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na
raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
Ograničavanje obrade - znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja
njihove obrade u budućnosti;
Izrada profila - znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe
osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu
ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim
sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;
Pseudonimizacija - znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati
određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije
drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni
podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
Anonimizacija podataka – to je postupak putem kojeg podaci (informacije) postaju anonimni i ne
mogu se povezati s ispitanikom, odnosno osobom od koje potječu. Za razliku od pseudonimizacije,
reidentifikacija pojedinca iz tih podataka je nemoguća.
Voditelj obrade - znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili
zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (takav voditelj obrade je
Banka);
Distributivni kanali - predstavljaju sredstva i načine preko kojih je omogućen pristup, ugovaranje,
korištenje proizvoda i usluga Banke, a obuhvaćaju poslovnu mrežu Banke, internetsko bankarstvo,
mBanking i Internet stranicu Banke: www.croatiabanka.hr te ostalo;
Izvršitelj obrade - znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje
osobne podatke u ime voditelja obrade (primjerice FINA u dijelu platnog prometa);
OSR sustav je sustav obrade i razmjene podataka o klijentima između kreditnih i financijskih institucija
kao korisnika OSR sustava posredstvom HROK za potrebe procjene kreditne sposobnosti i/ili
upravljanja kreditnim rizikom.
lnformacijski sustav - je informacijska i komunikacijska tehnologija koja je uređena kao dio mehanizma
ili međusobno povezane mreže kojima se pruža podrška poslovanju Banke.
Sustav pohrane - znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim
kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj
osnovi;
Primatelj - znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju
osobni podaci, neovisno o tome je li on treća strana;
Treća strana - znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik,
voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom
nadležnošću Banke ili izvršitelja obrade;
Povjerljivost - svojstvo informacija (podataka) da nisu dostupne ili ne smiju biti otkrivene neovlaštenim
subjektima;
lntegritet (cjelovitost)- svojstvo informacija (podataka) i procesa da nisu neovlašteno ili nepredviđeno
mijenjani;
Privola - ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja
ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka
koji se na njega odnose;
Povreda osobnih podataka- znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja,
gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni
ili na drugi način obrađivani;
Nadzorno tijelo – znači neovisno tijelo javne vlasti koje je osnovala Republika Hrvatska ili država
članica radi kontrole i osiguranja provedbe Opće uredbe o zaštiti podataka (u RH je to Agencija za
zaštitu osobnih podataka);
Uredba - Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016 o zaštiti pojedinaca
u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podatka te o stavljanju izvan snage
Direktive 95/46/EZ ili kraće: Opća Uredba o zaštiti podataka.
Službenik za zaštitu podataka - Banka ga imenuje i obavlja zadaće utvrđene Uredbom i drugim
propisima, ovom Politikom i drugim aktima Banke koji budu doneseni i uređuju zaštitu podataka.
3. Područje primjene i cilj
Članak 3.
Politika je temeljni akt Banke koji za svrhu ima uspostavljanje okvira zaštite osobnih podataka sukladno
Općoj uredbi o zaštiti podataka. Politika utvrđuje pravila povezana sa zaštitom pojedinaca u pogledu
prikupljanja i obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.
Cilj Politike je uspostaviti primjerene procese zaštite i upravljanja osobnim podacima ispitanika,
odnosno klijenata, zaposlenika, poslovnih partnera Banke i drugih osoba čiji se osobnih podaci
obrađuju.
Politika se primjenjuje na sve obrade osobnih podataka unutar Banke, osim u slučajevima gdje se
obrađuju anonimizirani podaci ili su obrade takve da se radi o statističkim analizama iz kojih nije
moguće identificirati pojedinca.
4. Načela obrade podataka
Članak 4.
Načela obrade podataka su osnovna pravila kojih se Banka pridržava prilikom obrade osobnih
podataka ispitanika, a obrade koje se provode sukladno niže navedenim načelima smatraju se
zakonitima.
Svaka organizacijska jedinica Banke dužna je osigurati pridržavanje niže navedenih načela unutar
vlastite domene i prilikom obrade osobnih podataka za koje je nadležna ta organizacijska jedinica.
Banka osobne podatke obrađuje u skladu sa sljedećim načelima obrade:
1. Zakonito i pošteno - s obzirom na ispitanike i njihova prava, Banka će obrađivati osobne podatke
ispitanika sukladno važećim zakonima i ispunjavajući sva prava ispitanika. U skladu s tim, unutar Banke
definirana su jasna pravila kako bi se osigurala zakonita i poštena obrada, a uspostavljeni su i kontrolni
mehanizmi (npr. periodične revizije, tehničke mjere).
2. Transparentno – Banka će osigurati transparentnost obrada osobnih podataka te će, sukladno
Uredbi, pružiti ispitanicima sve potrebne informacije i na zahtjev osigurati ispitanicima uvid u njihove
podatke, obrazloženja obrada, temelje i zakonitosti obrade i sl. Kroz ovu Politiku, ali i kroz druge kanale
koje će biti dostupni ispitanicima, Banka će osigurati informacije ispitanicima kako se osobni podaci
koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju. Ispitanik će
biti pravovremeno, odnosno prije samog prikupljanja podataka, upoznat sa svim relevantnim
informacijama.
3. Uz ograničenje svrhe — osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te
se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.
4. Uz ograničenje pohrane — Banka osigurava da su osobni podaci ispitanika čuvani u obliku koji
omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni
podaci obrađuju uz pridržavanje obveza o čuvanju koje proizlaze iz Zakona o kreditnim institucijama i
dr. Banka može osobne podatke pohraniti i dulje ako za to postoji legitimni interes (npr. u slučaju
sudskog spora).
5. Koristeći samo potrebne podatke (smanjenje količine podataka) - Banka prikuplja i obrađuje
osobne podatke na način da su ti podaci primjereni, relevantni i ograničeni na ono što je nužno u
odnosu na svrhe u koje se obraduju. Procesi u Banci su dizajnirani na način da se prikupljaju samo oni
podaci za koje postoji svrha za prikupljanjem i svaka organizacijska jedinica unutar Banke osigurava da
se ovo načelo adekvatno primjenjuje.
6. Točnost - Banka osigurava da su podaci točni i prema potrebi ažurni. Banka će poduzeti sve razumne
mjere radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju,
bez odlaganja izbrišu ili isprave. Banka osigurava primjenu ovog načela na način da uspostavlja
potrebne kontrole i transparentan proces komunikacije s ispitanicima kroz koji se može zatražiti
ispravak podataka u slučaju da ispitanik primijeti da neki od njegovih osobnih podataka nije ispravno
naveden.
7. Osigurava sigurnost, nadzor i kontrolu nad podacima i obradama podataka (Cjelovitost i
povjerljivost) - Banka prikuplja i obrađuje podatke na način kojim se osigurava odgovarajuća sigurnost
osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka,
uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Banka je
implementirala IT sustave koji imaju za cilj detekciju i sprječavanja curenja podataka, sustave za
anonimizaciju/pseudonimizaciju podataka, metode nadzora nad pristupom podataka, ograničenja
pristupa podacima sukladno potrebi radnog mjesta i sl.
Sukladno navedenim načelima, podacima ispitanika pristupat će djelatnici Banke ovisno o njihovim
ovlaštenjima i radnim mjestima, kako bi uspješno ispunili poslove definirane za njihovo radno mjesto.
Također dio usluga za Banku obavljaju i druge pravne osobe s kojima će podaci ispitanika biti
podijeljeni samo ako su oni nužni za potrebe ispunjenja obveza iz zajedničkih ugovora. Primjer toga je
izrada bankovnih kartica i pohrana (arhiviranje) dokumentacije. Prilikom sklapanja ugovora o poslovnoj
suradnji s drugim pravnim osobama Banka vodi računa o reguliranju obrade osobnih podataka
ugovornim odredbama i utvrđivanju odgovarajućih uloga ugovornih strana u pogledu obrade osobnih
podataka.
Banka će podatke ispitanika proslijediti i pravnim osobama i državnim institucijama u slučaju kada za to
postoji zakonska osnova (primjerice za potrebe jedinstvenog registra računa kod FINA-e).
Banka može, ovisno o okolnostima, osobne podatke ispitanika podijeliti i sljedećim kategorijama
primatelja i to: ako se Banka u budućnosti pripoji ili spoji drugom trgovačkom društvu/stjecatelju ili ju
kupi neko drugo trgovačko društvo/stjecatelj, Banka može podijeliti osobne podatke potencijalnim
kupcima ili novim vlasnicima Banke bilo u postupku provedbe aktivnosti (npr. due diligence) za
prodaju/pripajanje/spajanje Banke ili nakon završetka transakcije (npr. kupoprodaje dionica Banke).
Prilikom korištenja naše aplikacije (CROBA mBanking ili dr.), ista ima mogućnost učitavanja informacije o slici korisnika.
Banka ne koristi spomenutu sliku korisnika ni na koji način niti ima pristup istoj, ne pohranjuje ju na svoju infrastrukturu i ne dijeli drugima.
Spomenuta slika korisnika pohranjuje se isključivo na korisničkom uređaju u svrhu boljeg korisničkog iskustva.
Banka ne prenosi osobne podatke trećim zemljama (izvan Europske unije) ili međunarodnim
organizacijama. Kada Banka bude prenosila podatke u treće zemlje ili međunarodne organizacije, u
svemu će postupati u skladu s uvjetima navedenim u poglavlju 5. ove Politike („Zakonitost obrade“) i
Poglavljem V. Uredbe.
5. Zakonitost obrade
Članak 5.
Banka osobne podatke ispitanika smatra njihovim vlasništvom te se prema njima tako i odnosi.
Međutim, kako bi Banka bila u mogućnosti pružiti uslugu ispitaniku, a sukladno niže navedenim
zakonitostima, potrebno je obrađivati minimalan set podataka neophodan za pružanje pojedine
usluge. U suprotnom, odnosno ako ispitanik odbije ustupiti traženi set podataka, Banka neće biti u
mogućnosti pružiti mu uslugu.
Sukladno tome, osobni podaci ispitanika obrađuju se zakonito kada je zadovoljen jedan od niže
navedenih uvjeta („zakonitosti“):
a) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na
zahtjev ispitanika prije sklapanja ugovora,
b) obrada je nužna radi poštovanja pravnih obveza Banke (važeći zakonski propisi prema kojima je
Banka dužna postupati) - u svakom trenutku kada zakon ovlašćuje ili obvezuje Banku na određenu
obradu, Banka će temeljem tog zakona obrađivati osobne podatke ispitanika. Na primjer, u slučaju
postojanja zakonske obveze koju propisuje Zakon o sprječavanju pranja novca i financiranju terorizma,
Banka će prikupljati i obrađivati zakonski definiran set podataka te u slučaju da ispitanik odbije ustupiti
traženi set podataka, Banka mu neće biti u mogućnosti pružiti uslugu.
Obrada je moguća i sukladno odredbama važećeg Zakona o obveznim odnosima i/ili Zakona o parničnom postupku i Zakona o kreditnim institucijama, osobito u slučaju sklapanja ugovora o ustupu tražbine (cesije) – ugovora kojim Banka prenosi na treću osobu tražbinu koju može imati prema svome klijentu/ispitaniku.
Prijenos potraživanja nije moguć bez prijenosa osobnih podataka.
c) obrada je nužna za potrebe legitimnih interesa Banke ili treće strane osim kada su od tih interesa jači
interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je
ispitanik dijete. Pod legitimnim interesom podrazumijevaju se obrade koje služe kako bi se unaprijedio
proces, razvoj proizvoda i unapređenje poslovanja, modernizirale usluge, ponudili proizvodi i usluge za
koje je razvidno da bi klijentu olakšali poslovanje s Bankom i unaprijedili njegovo upravljanje vlastitim
financijama, u korist rješavanja sudskih sporova i sl.
Svaka obrada na temelju legitimnog interesa Banke podliježe procjeni legitimnog interesa kako bi se
utvrdilo jesu li legitimni interesi ispitanika jači od legitimnog interesa Banke.
Legitimni interes Banke uključuje, ali se ne ograničava na: poduzimanje mjera radi upravljanja
poslovanjem Banke i daljnjeg razvoja usluga i proizvoda, obrade u svrhe izravnog marketinga u mjeri u
kojoj se ispitanici nisu usprotivili takvoj obradi, ocjenjivanje kvalificiranosti kandidata za radno mjesto
te verifikaciju radnog iskustva i povijest zaposlenja kandidata za zapošljavanje i sl. Razmjena podataka
u OSR sustavu, osim na poštivanju pravne obveze, temelji se također i na legitimnom interesu Banke,
kao i legitimnom interesu svih korisnika sustava da procjenjuju kreditnu sposobnosti klijenata
(sposobnost klijenata za urednom otplatom obveze) kako bi smanjili i/ili izbjegli rizik loših plasmana i
prezaduženosti klijenata te upravljali kreditnim rizicima u odnosu na svoje klijente, što je jedna od
regulatornih obveza.
d) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha - privola
mora biti dokaziva i dobrovoljna, napisana lako razumljivim jezikom i ispitanik ima pravo u svakom
trenutku povući svoju privolu (povlačenje privole mora biti jednako jednostavno kao i davanje privole).
Banka će zatražiti privolu od ispitanika za obrade podataka i kontaktiranje u svrhu provođenja
marketinških aktivnosti za obrade koje Banka ne smatra svojim legitimnim interesom. Prezentaciju
novih proizvoda i usluga, nedostupnosti određene usluge koje Banka komunicira putem dostupnih
distributivnih kanala Banka smatra dijelom usluge te za to neće zatražiti privolu ispitanika dok je sama
obrada u skladu s ostalim načelima obrade navedenim u Poglavlju 4. ''Načela obrade podataka'' te se
temelji na nekoj od navedenih zakonitosti obrade.
e) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
f) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja
obrade.
Svaka organizacijska jedinica unutar Banke dužna je identificirati zakonitost za svaku obradu koja je u
njihovoj poslovnoj domeni. Pri identifikaciji zakonitosti obrade konzultirat će se Službenik za zaštitu
podataka koji će primjenjujući Uredbu, Zakon o provedbi Opće uredbe o zaštiti podataka i ostale
propise i najbolje prakse iz područja zaštite podataka, savjetovati organizacijsku jedinicu prilikom
identifikacije zakonitosti obrada.
6. Prava Ispitanika
Članak 6.
Banka je svjesna kako su osobni podaci ispitanika njegovo vlasništvo te iako su nam ti podaci
neophodni za pružanje usluge, ispitanici u svakom trenutku zadržavaju određena prava u odnosu na
obrade njihovih podataka te Banka podatke prikuplja i obrađuje samo uz postojanje gore navedenih
zakonitosti obrade.
Banka će u trenutku prikupljanja informacija od ispitanika pružiti sljedeće informacije:
a) identitet i kontaktne podatke voditelja obrade,
b) kontaktne podatke Službenika za zaštitu podataka,
c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu,
d) ako se obrada temelji na članku 6. stavku 1. točki (f) Uredbe, legitimne interese Banke ili treće
strane,
e) primatelje ili kategorije primatelja osobnih podataka, ako takvih primatelja ima,
f) namjeru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama, ako
takva namjera postoji,
g) razdoblje pohrane podataka ili kriterije koji definiraju to razdoblje,
h) ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a) Uredbe,
postojanje prava da u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost
obrade koja se temeljila na privoli prije nego što je ona povučena,
i) prava ispitanika vezana uz zaštitu osobnih podataka, uključujući i pravo na podnošenje
prigovora nadzornom tijelu,
j) informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan
za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće
posljedice ako se takvi podaci ne pruže,
k) postojanje automatiziranog donošenja odluka što podrazumijeva i izradu profila (smislene
informacije o kojoj je logici obrade riječ te potencijalnim posljedicama i važnosti same obrade
za ispitanika), ako takvo postoji.
U slučaju da se podaci ne prikupljaju izravno od ispitanika, uz navedene informacije pridodaje se i izvor
osobnih podataka.
Banka osobne podatke obrađuje sukladno sljedećim pravima ispitanika definiranim unutar Uredbe,
kako slijedi:
Pravo na brisanje (,,pravo na zaborav“) - ispitanik ima pravo od Banke ishoditi brisanje osobnih
podataka koji se na njega odnose, a Banka ima obvezu obrisati osobne podatke bez nepotrebnog
odgađanja ako je ispunjen jedan od sljedećih uvjeta:
a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način
obrađeni,
b) ispitanik povuče privolu na kojoj se obrada temelji, a ne postoji druga pravna osnova za
obradu,
c) ispitanik uloži prigovor na obradu, a legitimni razlozi za realizaciju prava na brisanje imaju
veću težinu od legitimnog interesa Banke za obradu i/ili čuvanje osobnih podataka,
d) osobni podaci nezakonito su obrađeni,
e) osobni podaci moraju se brisati radi poštovanja pravne obveze proistekle iz propisa
Republike Hrvatske ili Europske Unije.
Banka će u svakom pojedinom slučaju razmotriti sve okolnosti i potom će odlučiti o zahtjevu ispitanika.
Prilikom odlučivanja o zahtjevu Banka će voditi računa o pravnim osnovama koje joj priječe brisanje
određenih osobnih podataka.
Banka osobne podatke ispitanika obrađuje i pohranjuje sve dok je to potrebno za izvršenje ugovornih i
zakonskih obveza. Posebnim internim aktom utvrđeni su rokovi čuvanja dokumentacije i podataka koje
Banka obrađuje u svom poslovanju. Osobni podaci se čuvaju, primjerice, najmanje 11 godina od isteka
godine u kojoj je poslovni odnos prestao (sukladno obvezama propisanim Zakonom o kreditnim
institucijama i Zakonom o računovodstvu). Osim toga, u slučaju realizacije povremene transakcije,
Banka je dužna, temeljem Zakona o sprječavanju pranja novca i financiranja terorizma, čuvati osobne
podatke 10 godina od obavljanja transakcije i sl.
Po isteku zakonskih rokova za pohranu osobnih podataka utvrđenih relevantnim propisima i internim
aktom Banke (i ako ne postoji legitiman interes za duže čuvanje odnosno pohranu poput rješavanja
potencijalnih pritužbi ili sporova), Banka briše osobne podatke.
Pravo na pristup podacima - ispitanik ima pravo dobiti od Banke potvrdu obrađuju li se njegovi osobni
podaci te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i svrsi obrade, kategorijama
podataka, potencijalnim primateljima kojima će osobni podaci biti otkriveni i sl.
Pravo na ispravak - ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od Banke ispravak
netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima
pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave. Dodatno,
ispitanici imaju obvezu ažuriranja osobnih podataka u poslovnom odnosu s Bankom.
Pravo na prijenos podataka - ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a
koje je pružio Banci u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima
pravo prenijeti te podatke drugom voditelju obrade. Potrebno je uzeti u obzir da se pravo prijenosa
odnosi isključivo na osobne podatke ispitanika koje je on pružio Banci.
Pravo na prigovor - ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti
prigovor na obradu osobnih podataka koji se odnose na njega, ako se radi o obradi koja je nužna za
izvršavanje zadaće od javnog interesa ili se temelji na legitimnom interesu Banke ili treće strane,
uključujući izradu profila koja se temelji na ovim osnovama. Banka u takvoj situaciji više ne smije
obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji
nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih
zahtjeva.
Izravni marketing i prigovor - Banka ne obrađuje osobne podatke radi izrade profila ispitanika
u svrhu izravnog marketinga. Kada Banka obavlja izravni marketing ispitanik u svakom trenutku
ima pravo uložiti prigovor na obradu osobnih podataka za potrebe takvog marketinga, u kojem
slučaju Banka više ne smije obrađivati podatke u te svrhe. Činjenica što Banka ne izrađuje
profile ispitanika ne isključuje pravo ispitanika da uloži Banci prigovor i po tom osnovu.
Pravo na ograničenje obrade - ispitanik ima pravo tražiti i ishoditi ograničenje obrade u slučaju:
(a) da osporava točnost osobnih podataka, na razdoblje kojim se Banci omogućuje provjera
točnosti osobnih podataka,
(b) kada smatra da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto toga
traži ograničenje njihove uporabe,
(c) kada je ispitanik uložio prigovor na obradu i očekuje potvrdu nadilaze li legitimni razlozi
Banke kao voditelja obrade razloge ispitanika
(d) da Banka kao voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih
ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Ako je obrada ograničena iz naprijed navedenih razloga ograničenja, takvi osobni podaci smiju se
obrađivati samo uz privolu ispitanika, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili obranu
pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Unije ili
države članice.
Ispitanika, koji je ishodio ograničenje obrade iz naprijed navedenih razloga ograničenja, Banka kao
voditelj obrade izvješćuje prije nego što ograničenje obrade bude ukinuto.
Pravo vezano uz automatizirano donošenje odluka i profiliranje- ispitanik ima pravo da se na njega ne
odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja
proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu, osim ako je
ta odluka:
- potrebna za sklapanje ili izvršenje ugovora između ispitanika i Banke,
- dopuštena zakonom, ili
- temeljena na izričitoj privoli ispitanika.
Banka ne donosi odluke koje se temelje isključivo na automatiziranoj obradi i ne izrađuje profile
ispitanika.
Članak 7.
Ispitanik ima pravo u svakom trenutku zahtijevati realizaciju bilo kojeg od prava navedenih u članku 6.
ove Politike. Banka pruža informacije ispitaniku na njegov zahtjev o poduzetim radnjama vezanim uz
navedena prava. Informacija se pruža najkasnije u roku od tri mjeseca od zaprimanja zahtjeva (ovisno o
količini i kompleksnosti zahtjeva). Naime, svi zahtjevi će se pokušati adresirati bez odgađanja i unutar
jednog mjeseca te će se rok produljiti najviše za dodatna dva mjeseca kada je to nužno. Ako Banka ne
postupi po zahtjevu ispitanika, bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva, izvijestit
će ispitanika o razlozima zbog kojih nije postupila po zahtjevu.
Zahtjevi za realizacijom prava ispitanika su besplatni, međutim Banka ima pravo naplatiti razumnu
naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu ako su zahtjevi ispitanika
očito neutemeljeni ili pretjerani, a osobito zbog njihovog učestalog ponavljanja.
7. Obveze Banke sukladno Uredbi
Članak 8.
Banka sukladno Uredbi na sebe preuzima određene obveze. Same obveze ovise o ulozi u kojoj se
Banka nalazi u odnosu na određenu obradu podataka. Banka je u većini svojih poslovnih procesa
voditelj obrade, u drugima zajednički voditelj obrade, a može biti i izvršitelj obrade. Voditelj obrade je
u poslovnim procesima gdje je samostalno odredila svrhu i način obrade podataka, zajednički voditelj
obrade je u poslovnim procesima gdje s drugim voditeljima određuje svrhu i načine obrade osobnih
podataka, a izvršitelj obrade je u situacijama u kojima obrađuje podatke u ime voditelja obrade (npr.
Banka ugovara usluge za druge pravne osobe).
Banka kontinuirano provodi odgovarajuće tehničke i organizacijske mjere zaštite uzimajući u obzir
prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i
slobode ispitanika.
Spomenute mjere uključuju provedbu odgovarajućih internih pravila zaštite podataka:
- Osobni podaci ispitanika čuvaju se u skladu s internim standardima sigurnosti Banke. Banka
kontinuirano poduzima značajne organizacijske i tehničke mjere kako bi zaštitila osobne, a i sve ostale,
podatke ispitanika. Gdje je to primjenjivo, Banka primjenjuje kriptografske metode zaštite podataka te
se kontinuirano radi na unaprjeđenju sigurnosnih mjera na razini Banke. Uz navedeno, koriste se mjere
za zaštitu i sprječavanje curenja podataka, nadziru se kritični sustavi unutar Banke, uništavaju
nepotrebni papirnati dokumenti i sl.
- Banka ne dopušta neovlašteno prikupljanje, obradu ili korištenje osobnih podataka. Primjenjuje se
pravilo ograničavanja pristupa podacima samo na one podatke koji su potrebni za obavljanje pojedinih
poslovnih zadataka. U skladu s tim, jasno su definirane uloge i odgovornosti unutar Banke.
Zaposlenicima Banke je strogo zabranjeno korištenje osobnih podataka ispitanika u bilo koju svrhu koja
nije u skladu s uvjetima definiranim u poglavlju 5. ove Politike („Zakonitost obrade“). Dodatno je
potrebno naglasiti da pojedini zaposlenici, sukladno opisu svojih radnih mjesta i važećim zakonima
(npr. Zakon o sprječavanju pranja novca i financiranja terorizma) imaju pravo uvida i obrade svih
osobnih podataka, ali isključivo u opsegu koji je potreban da bi se ispunili regulatorni zahtjevi ili izvršio
ugovor s ispitanikom. Ti procesi su pod strogom kontrolom i fizički su odijeljeni od drugih procesa
Banke. Banka je obvezala svoje zaposlenike na povjerljivost svih podataka koje saznaju u obavljanju
svojih poslova.
- Osobni podaci se štite od neovlaštenog pristupa, korištenja, izmjene te gubitka. Mehanizmi zaštite se
primjenjuju na osobne podatke unutar Banke bez obzira u kojem se obliku oni čuvaju — papirnatom ili
elektroničkom.
- Banka prilikom povjeravanja obrade podataka izvršiteljima obrade podataka osigurava da izvršitelji
obrade podataka poduzimaju potrebne organizacijske i tehničke mjere za zaštitu podataka.
- Pridržavanje ove Politike te internih pravila vezanih uz zaštitu podataka se također redovito
provjerava unutar Banke, a provjeru provodi Službenik za zaštitu podataka i druge ovlaštene osobe
(npr. unutarnja revizija, vanjski revizor).
- Redovito se održavaju edukacije zaposlenika kako bi razina svijesti o zaštiti osobnih podataka bila
zadovoljavajuća.
8. Obrada posebnih kategorija osobnih podataka
Članak 9.
Banka ne obrađuje podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili
filozofska uvjerenja ili članstvo u sindikatu te obrade genetskih podataka, biometrijskih podataka u
svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom
životu ili seksualnoj orijentaciji pojedinca.
Obrada navedenih podataka, a prvenstveno podataka koji se odnose na zdravlje provodit će se od
strane Banke iznimno u sljedećim uvjetima:
- ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha,
- obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava Banke ili ispitanika u
području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno
u okviru prava Europske Unije, prava Republike Hrvatske ili kolektivnog ugovora u skladu s pravom
Republike Hrvatske koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika,
-obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili
pravno nije u mogućnosti dati privolu,
-obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik,
- obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva.
Banka posebno štiti osobne podatke djece, budući da djeca mogu biti manje svjesna rizika, posljedica i
predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Djecom se smatraju
osobe mlađe od šesnaest godina.
9. Automatizirana obrada podataka
Članak 10.
Banka ne donosi odluke o pružanju svojih usluga, odnosno odluke koje bi imale pravne učinke ili na
značajan način utjecale na ispitanika, a koje bi se temeljile isključivo na automatiziranoj obradi,
uključujući izradu profila, bez procjene i prosudbe zaposlenika Banke.
Neovisno o navedenom, ukoliko ispitanik smatra da je odluka Banke koja proizvodi pravne učinke ili na
sličan način značajno utječe na njega, donesena isključivo temeljem automatizirane obrade podataka,
uključujući izradu profila, ima pravo tražiti da se takva odluka na njega ne odnosi.
10. Korištenje osobnih podataka u poslovanju s klijentima poslovnim korisnicima
Članak 11.
Klijenti poslovni korisnici Banke mogu biti svaka pravna osoba, tijelo državne vlasti, jedinica lokalne ili
područne samouprave te njihova tijela, udruga i društvo (sportsko, kulturno, dobrotvorno i sl.), kao i
svaka fizička osoba („nepotrošač“) koja djeluje unutar područja svoje registrirane gospodarske
djelatnosti ili slobodnog zanimanja. Banka prikuplja i obrađuje podatke o klijentima poslovnim
korisnicima, transakcijama, korištenju proizvoda i usluga i osobne podatke fizičkih osoba
(„nepotrošača“) koje djeluju unutar područja svoje registrirane gospodarske djelatnosti ili slobodnog
zanimanja te osobne podatke fizičkih osoba (potrošača) koje su povezane s klijentima poslovnim
korisnicima. Povezane osobe s klijentom poslovnim korisnikom u kontekstu ove Politike mogu biti
fizičke osobe vlasnici klijenta poslovnog korisnika, osobe ovlaštene za zastupanje klijenta poslovnog
korisnika, prokuristi, opunomoćenici klijenta poslovnog korisnika, predstavnici klijenta poslovnog
korisnika, opunomoćenici po transakcijskom računu, korisnici usluga elektroničkog bankarstva,
korisnici poslovnih kartica, jamci, sudužnici, založni dužnici i druge fizičke osobe čije je osobne podatke
klijent poslovni korisnik dao Banci na korištenje za svrhe uspostave i održavanja poslovnog odnosa.
Banka prikuplja i obrađuje podatke o klijentima poslovnim korisnicima koji uključuju osobne podatke
klijenta poslovnih korisnika i povezanih osoba u skladu sa zakonitostima iz Poglavlja 5. ove Politike -
„Zakonitost obrade“.
Banka može obrađivati prikupljene podatke klijenata poslovnih korisnika koji uključuju osobne podatke
fizičkih osoba („nepotrošača“) koje djeluju unutar područja svoje registrirane gospodarske djelatnosti
ili slobodnog zanimanja i povezanih osoba koje joj je na korištenje dao klijent poslovni korisnik za
sljedeće slučajeve:
- Utvrđivanje identiteta
- Procjena rizika uspostave i održavanja poslovnog odnosa
- Prevencija rizika koji mogu proizaći iz poslovnog odnosa
- Usklađivanje sa zakonskim i regulatornim propisima unutar i izvan područja Republike Hrvatske
- Ugovaranje i korištenje proizvoda i usluga koje pruža Banka,
- Izvršenje svih vrsta bankovnih transakcija unutar i izvan područja Republike Hrvatske
- Utvrđivanje kreditne sposobnosti
- Naplata potraživanja
- Izvješćivanje
- Statističke obrade
- Razvijanje i poboljšanje proizvoda i usluga kako bi klijentima poslovnim korisnicima omogućili bolje
iskustvo korištenja
- Definiranje proizvoda i usluga koji bi klijentima poslovnim korisnicima Banke bili od koristi
- Kontaktiranje u svrhe ispunjenja ugovornih odnosa
- Kontaktiranje u marketinške svrhe.
Banka može podijeliti podatke o klijentima poslovnim korisnicima koji uključuju osobne podatke
fizičkih osoba (nepotrošača) koje djeluju unutar područja svoje registrirane gospodarske djelatnosti ili
slobodnog zanimanja i povezanih osoba koje joj je na korištenje dao klijent poslovni korisnik uz
zadovoljenje zakonitosti obrada definiranih u Poglavlju 5. „Zakonitost obrade“ te sukladno načelima
obrade definiranim u Poglavlju 4. „Načela obrade podataka“ podataka i to prema:
- Zakonodavnim, nadzornim i regulatornim tijelima unutar i izvan područja Republike Hrvatske
- Financijskim institucijama s kojima Banka surađuje
- Institucijama koje pružaju usluge provjera Embargo lista
- Ministarstvima, jedinicama lokale i područne samouprave s kojima Banka surađuje
- Hrvatskom registru obveza po kreditima (HROK) i ostalim registrima
- Revizorima i konzultantima unutar i izvan Banke te ostalim tijelima koji su ovlašteni za reviziju i
pružanje konzultantskih usluga
- Kartičnim kućama i kartičnim procesorima s kojima Banka surađuje
- Ostalim pravnim osobama partnerima s kojima Banka ima sklopljen ugovor o poslovnoj suradnji
temeljem kojeg klijenti poslovni korisnici mogu ugovarati i koristiti proizvode i usluge koje Banka
pruža
- itd.
11. Službenik za zaštitu podataka
Članak 12.
Banka je imenovala Službenika za zaštitu podataka koji je neovisan i kao takav djeluje u interesu zaštite
prava ispitanika i njihovih osobnih podataka. Njegova je odgovornost da vodi računa o primjeni Politike
te ostalih internih akata i procedura koje definiraju pravila postupanja prilikom prikupljanja i obrade
osobnih podataka ispitanika. Službenik za zaštitu podataka je na primjeren način i pravodobno
uključen u sva pitanja u pogledu zaštite osobnih podataka. Sudjeluje u procesima Banke koji se odnose
na upravljanje promjenama i projektima što mu omogućuje pravovremeni pristup informacijama.
Službenik za zaštitu podataka izravno odgovara Upravi Banke i obvezan je tajnošću i povjerljivošću u
vezi s obavljanjem svojih zadaća.
Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće u Banci:
- informiranje i savjetovanje Banke te zaposlenika koji obavljaju obradu o njihovim obvezama iz
Uredbe te drugim odredbama Europske unije ili Republike Hrvatske o zaštiti podataka;
- praćenje poštivanja Uredbe te drugih odredaba Europske Unije ili Republike Hrvatske o zaštiti
podataka i internih akata i procedura Banke ili izvršitelja obrade u odnosu na zaštitu osobnih
podataka, uključujući i raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje
sudjeluje u postupcima obrade te povezane revizije;
- pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje
njezina izvršavanja;
- suradnja s nadzornim tijelom;
- djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, te savjetovanje,
prema potrebi o svim drugim pitanjima;
- rješavanje i upravljanje zahtjeva ispitanika;
- druge aktivnosti sukladno internim aktima o zaštiti osobnih podataka.
Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s
postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade.
Službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja navedenih zadaća što mu
dodatno osigurava neovisnost. Službenik za zaštitu podataka je ujedno i primarna točka za kontakt
ispitanicima koji žele ostvariti svoja prava (pitanja povezanih s obradom svojih osobnih podataka i
ostvarivanja svojih prava iz Uredbe, poslati upit vezan uz zaštitu osobnih podataka, zatražiti dodatne
informacije, izraziti brigu oko obrade njihovih osobnih podataka, podnijeti prigovor vezano uz zaštitu
osobnih podataka te ostvarivanja svojih prava iz Opće uredbe o zaštiti podataka). Ispitanici mogu
Službenika za zaštitu podataka kontaktirati pisanim putem i putem e-mail adrese, a koji kontakti se
nalaze na Internet stranici Banke www.croatiabanka.hr.
12. Procjena učinka
Članak 13.
Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu,
opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode ispitanika, Banka prije obrade
provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka, ako je u ulozi
voditelja obrade. Navedena procjena može se odnositi na niz sličnih postupaka obrade koji
predstavljaju slične visoke rizike, a Banka će po potrebi provesti i procjenu učinka na sve trenutno
aktivne obrade koje odgovaraju navedenim kategorijama.
Organizacijske jedinice Banke bi trebale kontaktirati Službenika za zaštitu podataka u slučaju da nisu
sigurne treba li provesti procjenu učinka na određenu obradu podataka ili ne. Službenik za zaštitu
podataka odgovoran je osigurati preduvjete provedbe ,,procjene učinka na zaštitu podataka“, odnosno
biti podrška prilikom izrade procjene.
Banka obvezno provodi procjenu učinka na zaštitu podataka u slučaju:
- sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na
automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode
pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca,
- opsežne obrade posebnih kategorija osobnih podataka,
- sustavnog praćenja javno dostupnog područja u velikoj mjeri,
- u slučajevima obrada koje propiše nadzorno tijelo (Agencija za zaštitu osobnih podataka).
Procjena učinka sadrži minimalno:
- sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući legitimni interes
Banke;
- procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
- procjenu rizika za prava i slobode ispitanika iz prvog stavka;
- mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i
mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Uredbom,
uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.
Organizacijske jedinice Banke dužne su provoditi procjenu učinka sukladno gore navedenim kriterijima
i primjenjivim interno definiranim aktima.
13. Evidencije aktivnosti obrada osobnih podataka
Članak 14.
Banka vodi evidencije aktivnosti obrada osobnih podataka za koje je odgovorna, odnosno u
slučajevima kada je u ulozi voditelja obrade ili zajedničkog voditelja obrade, a koja sadržava najmanje
sljedeće informacije:
- ime i kontaktne podatke voditelja obrade i Službenika za zaštitu podataka;
- svrhe obrade
- opis kategorija ispitanika i kategorija osobnih podataka
- kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje
u trećim zemljama ili međunarodne organizacije;
- prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući ime treće
zemlje ili naziv međunarodne organizacije, ako je primjenjivo;
- predviđene rokove za brisanje različitih kategorija podataka, ako je to moguće;
- opći opis tehničkih i organizacijskih sigurnosnih mjera, ako je to moguće.
Svaki izvršitelj obrade i Banka kada je u ulozi izvršitelja obrade, ako je primjenjivo, vodi evidenciju
aktivnosti obrade koje se obavljaju za voditelja obrade, a koja sadržava:
- ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime
izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te
službenika za zaštitu podataka;
- kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
- prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje
te treće zemlje ili međunarodne organizacije, ako je primjenjivo;
- opći opis tehničkih i organizacijskih sigurnosnih mjera, ako je moguće.
Evidencija mora biti u pisanom obliku, uključujući i elektronički oblik.
14. Incidenti, curenje podataka i pravo na prigovor nadzornom tijelu
Članak 15.
Banka poduzima značajne procesne i tehnološke mjere kako bi zaštitila osobne podatke ispitanika.
Dodatno, svi zaposlenici Banke imaju dužnost obavijestiti odgovorne osobe (prvenstveno Službenika za
zaštitu podataka) u slučaju incidenta vezanog uz zaštitu osobnih podataka, a u slučaju povrede osobnih
podataka Banka je incident dužna prijaviti Agenciji za zaštitu osobnih podataka unutar 72 sata nakon
saznanja o povredi, ako je to izvedivo, osim ako nije vjerojatno da će povreda osobnih podataka
prouzročiti rizik za prava i slobode pojedinca. Banka je dužna obavijestiti odgovorne osobe direktno
ako je u ulozi voditelja obrade ili zajedničkog voditelja obrade, a u ulozi izvršitelja obrade
obavještavanje se provodi putem voditelja obrade koji je primarna točka za kontakt.
Također, u slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i
slobode pojedinaca, Banka je dužna bez nepotrebnog odgađanja obavijestiti ispitanika o povredi
osobnih podataka. Iznimno, Banka neće obavijestiti ispitanika u slučaju povreda osobnih podataka ako
je ispunjen barem jedan od sljedećih uvjeta:
- Banka je poduzela odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene
na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke
čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija
- Banka je poduzela naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do
visokog rizika za prava i slobode ispitanika ;
- time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavještavanje ili
slična mjera kojom se ispitanici obavještavaju na jednako djelotvoran način.
Ispitanik ima pravo podnijeti prigovor nadzornom tijelu (Agencija za zaštitu osobnih podataka) u
slučaju incidenta koji se tiče njegovih osobnih podataka ili ako smatra da Banka krši njegova prava
definirana Općom uredbom o zaštiti podataka i Zakonom o provedbi Opće uredbe o zaštiti podataka.
Više informacija dostupno je na Internet stranici Banke kao i na internetskoj stranici www.azop.hr
15. Završne odredbe
Članak 16.
Ovu Politiku usvaja i donosi Uprava Banke.
Ovu Politika se će revidirati po potrebi, a njezino održavanje, ažuriranje i predlaganje Upravi izmjena
i/ili dopuna provodi Službenik za zaštitu podataka.
Ako je neka od odredbi općih uvjeta poslovanja Banke, vezanih uz obradu i zaštitu osobnih podataka, u
suprotnosti s ovom Politikom, Banka se obvezuje u poslovanju primijeniti ovu Politiku.
Ova Politika će se učiniti dostupnom u papirnatom obliku u poslovnoj mreži Banke te na Internet
stranici Banke.
Ova Politika stupa na snagu i primjenjuje se od 17.05.2023. godine.
Stupanjem na snagu ove Politike stavlja se izvan snage Politika obrade i zaštite osobnih podataka Croatia banke d.d. broj UZ-514/22 od 28.12.2022. godine.
CROATIA BANKA d.d