Politika o zaštiti podataka

1. Uvod

U skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), OTP nekretnine d.o.o. (u daljnjem tekstu: Društvo) sa sjedištem u Zadru, Domovinskog rata 3, usvojilo je Politiku o zaštiti podataka (u daljnjem tekstu: Politika) s ciljem jasne komunikacije o tome kako Društvo upravlja zaštitom osobnih podataka.

Društvo, kao voditelj obrade sa sljedećim kontakt podacima: OTP nekretnine d.o.o.,
Domovinskog rata 3, 23 000 Zadar,
OIB: 70074543875
tel: 098429065
adresa elektroničke pošte: nekretnine@otpbanka.hr

prikuplja, koristi, prosljeđuje i na drugi način obrađuje osobne podatke svojih klijenata, zaposlenika i poslovnih partnera te drugih pojedinaca čiji se identitet može utvrditi izravno ili neizravno (u daljnjem tekstu: Ispitanici).

2. Načela obrade podataka

Općom uredbom o zaštiti podataka propisana su sljedeća načela obrade osobnih podataka:

Zakonitost, poštenost, transparentnost

osobni podaci moraju biti obrađivani zakonito, pošteno i transparentno s obzirom na Ispitanika;

Ograničavanje svrhe

osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statisčke svrhe, u skladu sa odredbama Opce uredbe o zaštiti podataka kojima se reguliraju zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ne smatra se neusklađenom s prvotnim svrhama;

Smanjenje količine podataka

osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;

Točnost

osobni podaci moraju biti točni i prema potrebi ažurni;

mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;

Ograničenje pohrane

osobni podaci moraju biti čuvani u obliku koji omogućuje identifikaciju Ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s odredbama Opće uredbe o zaštiti podataka kojima se reguliraju zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih Općom uredbom o zaštiti podatakaradi zaštite prava i sloboda Ispitanika;

Cjelovitost i povjerljivost

osobni podaci obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera;

Pouzdanost

Voditelj obrade odgovoran je za usklađenost sa navedenim načelima te ih mora biti u mogućnosti dokazati.

3. Osobni podaci koji se obrađuju i svrhe obrade

Ovisno o prirodi zajedničkog poslovnog odnosa Društvo, može raspolagati različitim osobnim podacima Ispitanika.

To uključuje identifikacijske i kontakt podatke, te dokumentirane i javno dostupne podatke.

Privatnost Ispitanika je zaštićena propisima Europske unije, kao i regulativom Republike Hrvatske. Društvo obrađuje osobne podatke i smije ih koristiti samo u svrhe za koje su prikupljeni. Obrada osobnih podataka je dopuštena samo i u mjeri kadaje ispunjeno najmanje jedno od sljedećeg:

  • Obrada je nužna radi poštivanja pravnih obveza Društva;
  • Obrada je nužna za izvršenje ugovora u kojem je Ispitanik stranka ili kako bi se poduzele radnje na zahtjev Ispitanika prije sklapanja ugovora;
  • Obrada je nužna za potrebe legitimnih poslovnih interesa Društva ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i sloboda Ispitanika koji zahtijevaju zaštitu osobnih podataka,
  • Na temelju informacija o opsegu obrade dana je izričita privola od strane Ispitanika.

Podatke koje Društvo obrađuje prikupljaju se od Ispitanika prilikom zasnivanja i tijekom trajanja poslovnog odnosa, tijekom komunikacije s Ispitanikom, u elektronskim porukama i pismima te drugim dokumentima, prilikom zaključenja ugovora o radu s djelatnicima Društva, te prilikom obavljanja drugih poslova za koje je Društvo ovlašteno.

U trenutku prikupljanja podataka Društvo će Ispitaniku pružiti informacije o podacima koje prikuplja te o svrhama i pravnoj osnovi za obradu.

Ukoliko osobni podaci nisu dobiveni od Ispitanika, Društvo će Ispitaniku, dodatno pružiti i informacije okategorijama osobnih podatakao kojima je riječ, izvoru osobnih podataka te dolaze li iz javno dostupnih izvora. Navedene informacije Ispitaniku će se dati:

  • unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

4. Obrada osobnih podataka na temelju privole Ispitanika

U određenim slučajevima, kada davanje podataka nije nužno za uspostavu ili nastavak poslovnog odnosa s Ispitanikom, Društvo može tražiti privolu Ispitanika za obradu osobnih podataka u određene svrhe. Kada se obrada osobnih podataka Ispitanika temelji na privoli, Ispitanik u svakom trenutku može povući danu privolu, no to neće utjecati na zakonitost obrade koja se temeljila na privoli prije nego li je ona povučena. Uskrata davanja ili naknadno povlačenja dane privole neće utjecati na mogućnost zaključenja ugovornog odnosa s Društvom, odnosno neće dovesti do prestanka postojećeg ugovornog odnosa s Društvom.

5. Posebne kategorije osobnih podataka

Posebnim kategorijama osobnih podataka smatraju se oni koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu. U tu kategoriju ulaze genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije Ispitanika, podaci koji se odnose na zdravlje ili podaci o spolnom životu ili seksualnoj orijentaciji. Navedeni podaci se ne smiju obrađivati osim u slučajevima kada je za tu obradu dana izričita privola Ispitanika te u drugim slučajevima propisanim Općom uredbom o zaštiti podataka.

6. Primatelji/kategorije primatelja osobnih podataka

Osobni podaci koje je Ispitanik dao Društvu ili kojima Društvo raspolaže na temelju poslovnog odnosa s Ispitanikom mogu biti stavljeni na uvid ili proslijeđeni poslovnim partnerima Društva (izvršiteljima obrade) na temelju ugovora.

Izvršitelji obrade Društvu pružaju različite usluge kako bi se omogućilo provođenje aktivnosti Društva (npr. informatičko-tehnološka podrška, pravna pomoć, knjigovodstvene usluge).

Društvo ujedno razmjenjuje osobne podatke s članicama OTP Grupe.

7. Period čuvanja podataka

Društvo je dužno čuvati osobne podatke Ispitanika 10 godina od povremene transakcije u vrijednosti od 105.000,00 kuna i većoj, ili 10 godina od povremene transakcije koja predstavlja prijenos novčanih sredstava u vrijednosti većoj od 1.000,00 eura, odnosno o drugim transakcijama, sve kako je propisano Zakonomo sprječavanju pranja novca i financiranja terorizma (NN 108/17).

U određenim slučajevima Društvo može osobne podatke Ispitanika čuvati kraće ili duže od gore navedenih rokova, ovisno o svrsi obrade podataka te prirodi poslovnog odnosa s Društvom.

8. Prava Ispitanika

Pravo na informacije

Ispitanik ima pravo na informacije u vezi s obradom njegovih podataka. Komunikacija vezana za obradu osobnih podataka prema Ispitaniku je uvijek u sažetom, transparentnom, razumljivom ilako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika.

Pravo na brisanje (Pravo na zaborav)

Ispitanik ima pravo na brisanje osobnih podataka ukoliko je ispunjen jedan od slijedećih uvjeta:

  • podaci više nisu nužni u odnosu na svrhe u koje su prikupljeni ili na drugi način obrađeni
  • povuče privolu na kojoj se obrada temelji; (Ispitanik uloži prigovor na obradu osobnih podataka na temelju legitimnog interesa Društva ili treće strane. U prvom slučaju neće doći do brisanja podataka ukoliko su legitimni interesi Društva jači od interesa, prava i sloboda ispitanika ili radi postavljanja,ostvarivanja ili obrane pravnih zahtjeva)
  • osobni podaci su nezakonito obrađeni; (osobni podaci se moraju brisati radi poštovanja pravnih obveza temeljem drugih pravnih propisa.)

Pravo na pristup

Ispitanik u svakom trenutku ima pravo od Društva zatražiti pristup osobnim podacima te detaljnim informacijama o tome kako se njegovi osobni podaci obrađuju.

Ostvarenje zahtjeva za pristup podacima ne smije negativno utjecati na prava i slobode drugih.

Pravo na ispravak

Ispitanik ima pravo na ispravak netočnih osobnih podataka. Također, ima pravo i na dopunu osobnih podataka, među ostalim i davanjem dodatne izjave.

Društvo će poduzeti mjere koje se od nje razumno mogu očekivati da provjeri točnost podataka i ispravi ih.

Pravo na prigovor nadležnom tijelu

Ispitanik ima pravo na podnošenje prigovora ovlaštenom nadzornom tijelu u Republici Hrvatskoj, Agenciji za zaštitu osobnih podataka, Martićeva ulica 14, 10 000 Zagreb.

Pravo na ograničenje obrade

Ispitanik ima pravo ishoditi ograničenje obrade osobnih podataka, pod slijedećim uvjetima:

  • Ispitanik osporava točnost osobnih podataka, na razdoblje kojim se Društvu omogućuje provjera točnosti osobnih podataka;
  • obrada je nezakonita i Ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
  • Društvo više ne treba osobne podatke za potrebe obrade, ali ih Ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
  • Ispitanik je uložio prigovor na obradu podataka na osnovu legitimnog interesa, uključujući izradu profila koja se temelju na tim podacima očekujući potvrdu nadilaze li legitimni razlozi Društva razloge Ispitanika.

Društvo izvješćuje Ispitanika koji je ishodio ograničenje obrade osobnih podataka prije nego što ograničenje obrade bude ukinuto.

Pravo na prenosivost podataka

Ispitanik također ima pravo na prenosivost svojih osobnih podataka. To znači da na zahtjev Ispitanika Društvo može dati osobne podatke u strukturiranom, te uobičajeno upotrebljavanom i strojno čitljivom formatu te ih Ispitanik ima pravo prenijeti drugom voditelju obrade pod uvjetom da se obrada podataka temelji na privoli ili ukoliko je nužna za izvršavanje ugovora u kojem je Ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora te ukoliko se obrada provodi automatiziranim putem. Prilikom ostvarivanja svojih prava na prenosivost podataka Ispitanik ima pravo na izravni prijenos od jednog voditelja obrade drugome, ukoliko je to tehnički izvedivo.

Pravo na prigovor

Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uputiti prigovor na obradu podataka kada se oni obrađuju na temelju legitimnog interesa Društva ili treće strane. U tom slučaju Društvo više ne smije obrađivati osobne podatke osim dokaže da postoje uvjerljivi legitimni razlozi za obradu, koji nadilaze interese, prava i slobode Ispitanika ili radi postavljanja ostvarivanja ili obrane pravnih zahtjeva.

9. Zaštita privatnosti

9.1. Sigurnost podataka

Društvo poduzima odgovarajuće tehničke i organizacijske mjere kako bi se osigurala potrebna zaštita podataka. Ove se mjere posebno odnose na računala (servere i radna računala), mreže i komunikacijske veze te aplikacije, a uključene su u IT sustav sigurnosti Društva.

Neophodne mjere koje su poduzete u Društvu kako bi se izbjegla neovlaštena obrada osobnih podataka uključuju, među ostalim, kontrolu sljedećeg:

  • fizičkog pristupa sustavima za obradu podataka;
  • logičkog pristupa sustavima za obradu podataka;
  • logičkog pristupa aplikacijama za obradu podataka;
  • unošenja podataka u sustave za obradu podataka;
  • prijenosa podataka kroz sustave za prijenos podataka.

Uz to, odgovarajuće mjere moraju se poduzeti kako bi se takvi podaci zaštitili od nenamjernog i neovlaštenog brisanja te gubitka.

Samo ovlašteni djelatnici koji su upoznati s uvjetima tajnosti podataka su uključeni u obradu istih. Njima je zabranjeno koristiti te podatke u osobne svrhe ili ih učiniti dostupnima bilo kojoj neovlaštenoj strani. Neovlaštenima se u ovome kontekstu smatraju i zaposlenici kojima pristup tim podacima nije nužan za ispunjenje radnih obaveza.

Obveza povjerljivosti vrijedi i nakon prestanka radnog odnosa.

9.2. Tehničke i organizacijske mjere

Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, Društvo je dužno provoditi odgovarajuće tehničke i organizacijske mjere kako bi osiguralo odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

  • pseudonimizaciju i enkripciju osobnih podataka;
  • sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;
  • sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
  • proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade

9.3. Izvješćivanje nadzornog tijela o povredi osobnih podataka

U slučajevima povrede osobnih podataka Društvo će bez nepotrebnog odgađanja, ako je izvedivo najkasnije 72 sata nakon saznanja, izvijestiti nadzorno tijelo, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca.

Povredom osobnih podataka smatra se svako kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

9.4. Obavještavanje Ispitanika o povredi osobnih podataka

U slučaju da dođe do povrede osobnih podataka koja će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, Društvo će bez nepotrebnog odgađanja obavijestiti Ispitanika o povredi osobnih podataka.

Obavještavanje Ispitanika nije obavezno u sljedećim slučajevima:

  • Društvo je poduzelo odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;
  • Društvo je poduzelo naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode Ispitanika kod čijih je podataka došlo do povrede;
  • time bi se zahtijevao nerazmjeran napor, kada će se provesti javno obavještavanje ili slična mjera kojom se Ispitanici obavješćuju na jednako djelotvoran način.

9.5. Procjena učinka na zaštitu podataka

U skladu s Općom uredbom o zaštiti podataka ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, Društvo je dužno prije obrade provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od Službenika za zaštitu podataka.

Procjena učinka na zaštitu podataka obvezna je osobito u slučaju:

  • sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;
  • opsežne obrade posebnih kategorija osobnih podataka ili podataka koje se odnose na kaznene osude i kažnjiva djela ili
  • sustavnog praćenja javno dostupnog područja u velikoj mjeri.

Procjena mora sadržavati sadrži barem:

  • sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;
  • procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
  • procjenu rizika za prava i slobode Ispitanika; i
  • mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Općom uredbom o zaštiti podataka, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

9.6. Evidencija aktivnosti obrade

Društvo je u skladu s Općom uredbom o zaštiti podataka dužno voditi evidenciju aktivnosti obrade. Ta evidencija mora sadržavati sve sljedeće informacije:

  1. ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
  2. svrhe obrade;
  3. opis kategorija ispitanika i kategorija osobnih podataka;
  4. kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
  5. ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u skladu s uvjetima propisanim Općom uredbom o zaštiti podataka, dokumentaciju o odgovarajućim zaštitnim mjerama;
  6. ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
  7. ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz točke 9.2. Politike.

10. Službenik za zaštitu podataka

U skladu s Uredbom o zaštiti podataka Društvo imenuje Službenika za zaštitu podataka. Cilj funkcije službenika za zaštitu podataka je kontinuirani rad na uspostavljanju i unaprjeđenju sveobuhvatnog i učinkovitog sustava za praćenje poštivanja Opće uredbe o zaštiti podataka koji je proporcionalan prirodi, obuhvatu i složenosti postupaka obrade podataka koje Društvo provodi.

Zadaće Službenika za zaštitu podataka su informiranje i savjetovanje Društva, izvršitelja obrade i zaposlenika o njihovim obvezama temeljem Opće uredbe o zaštiti podataka i drugih propisa o zaštiti podataka, praćenje poštovanja navedene uredbe te drugih propisa i Politike društva, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade,povezano provođenje revizija, pružanje savjeta, kada je od njega zatraženo u pogledu procjene učinka na zaštitu podataka, suradnja s nadzornim tijelom i druge zadaće propisane Općom uredbom o zaštiti podataka i internim aktima Društva.

Službenik za zaštitu podataka obvezan je tajnošću ili povjerljivošću u pogledu obavljanja svojih zadaća.

Kontakt podaci službenika za zaštitu osobnih podataka Društva javno su dostupni te su o njima obaviještena relevantna nadzorna tijela.

11. Kome se obratiti

Ukoliko Ispitanik ima bilo kakav upit o tome kako Društvo koristi njegove osobne podatke ili želi uložiti prigovor na obradu osobnih podataka, može se obratiti pisanim putem Službeniku za zaštitu podataka OTP Nekretnina d.o.o., na adresu Domovinskog rata 3, 23000 Zadar ili na e-mail adresu: zoran.supe@otpbanka.hr

Također, pristup osobnim podacima ili ostvarenje nekog drugog prava iz točke 9. ove Politike može zatražiti ispunjavanjem za to predviđenog obrasca (u prilogu), kojeg može dostaviti izravno Službenikuza zaštitu podataka putem gore navedenih kontaktnih podataka.

Sukladno Općoj uredbi za zaštitu podataka, Društvo će bez nepotrebnog odgađanja pružiti Ispitaniku informaciju o radnjama koje je poduzelo po njegovom zahtjevu, a najkasnije u roku od mjesec dana od zaprimanja zahtjeva.

Taj se rok prema potrebi može produljiti za dodatna dva mjeseca uzimajući u obzir složenost i broj zaprimljenih zahtjeva. Društvo će obavijestiti Ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, navodeći razloge odgađanja.

Ukoliko ne postupi po zahtjevu Ispitanika, Društvo će bez odgađanja, a najkasnije mjesec dana od primitka zahtjeva obavijestiti Ispitanika o razlozima zbog kojih nije postupilo po njegovom zahtjevu te o mogućnosti podnošenja pritužbe nadležnom tijelu i traženju pravnog lijeka




U Zadru, 28. Lipanj 2018.