INFORMACIJE O OBRADI OSOBNIH PODATAKA
1. Informacije o voditelju obrade
CROATIA osiguranje mirovinsko društvo za upravljanje dobrovoljnim mirovinskim fondom d.o.o. (dalje u tekstu: Društvo)
Vatroslava Jagića 33, 10000 Zagreb
OIB: 81231269363
Službenik za zaštitu podataka: dmf.privatnost@crosig.hr
Ovom obavijesti Društvo informira članove i potencijalne članove o svrhama i sredstvima obrade osobnih podataka sukladno Općoj uredbi o zaštiti podataka (GDPR) i drugim posebnim propisima kojima je uređeno poslovanje dobrovoljnih mirovinskih fondova.
2. Svrhe obrade osobnih podataka
2.1. Predugovorne radnje
Osobni podaci potencijalnih članova obrađuju se u svrhu poduzimanja radnji na njihov zahtjev prije sklapanja ugovora o članstvu u dobrovoljnom mirovinskom fondu.
Predugovorne radnje, između ostalog, uključuju zaprimanje i obradu upita i zahtjeva, kreiranje ponuda, pripremu ugovorne dokumentacije i drugih radnji nužnih za sklapanje ugovora o članstvu.
Podaci prikupljeni u ove svrhe čuvaju se najduže 30 dana ako potencijalni član ne potpiše ponudu, odnosnu sukladno niže navedenim rokovima (točka 2.2) u slučaju da potencijalni član prihvati i potpiše ponudu.
Kategorije osobnih podataka: ime i prezime, OIB, datum rođenja i spol, kontakt podaci (telefon ili adrese e-pošte).
Pravna osnova - Poduzimanje predugovornih radnji na zahtjev ispitanika, članak 6 stavak 1. točka b) Opće uredbe o zaštiti podataka.
2.2. Izvršavanje prava i obveza iz ugovora o članstvu u fondu
Osobni podaci članova obrađuju se u svrhu izvršavanja prava i obveza koje proizlaze iz ugovora o članstvu u dobrovoljnom mirovinskom fondu.
Izvršavanje ugovornih prava i obveza, između ostalog, uključuje vođenje i ažuriranje osobnog računa člana, evidentiranje i obradu uplata štednog uloga, izračun i raspodjelu mirovinske štednje, komunikaciju s članovima, isplatu sredstava, kao i provedbu drugih radnji nužnih za upravljanje mirovinskom štednjom.
Podaci prikupljeni u ove svrhe čuvaju se za vrijeme trajanja ugovornog odnosa, te dodatno 11 godina od isteka godine u kojoj je prestalo članstvo i izvršena posljednja isplata novčanih sredstava s osobnog računa člana, sukladno Zakonu o računovodstvu.
Kategorije osobnih podataka: ime i prezime, OIB, datum rođenja i spol, kontakt podaci (telefon ili adrese e-pošte), podaci o IBAN-u s kojeg član fonda vrši uplate, podaci o uplatama i stanju računa, podaci o poslodavcu ako vrši uplate u ime člana.
Pravna osnova - Izvršavanje ugovora kojem je ispitanik stranka, članak 6. stavak 1. točka b) Opće uredbe o zaštiti podataka.
2.3. Ispunjavanje zakonskih obveza Društva
Osobni podaci članova i potencijalnih članova obrađuju se u svrhu ispunjavanja zakonskih obveza Društva koje proizlaze iz Zakona o sprječavanju pranja novca i financiranja terorizma, osobito radi identifikacije i provjere identiteta stranke te praćenja poslovnog odnosa.
Predmetna obrada osobnih podataka, između ostalog, uključuje identifikaciju i provjeru identiteta člana ili potencijalnog člana na temelju važećih identifikacijskih isprava, prikupljanje i pohranu preslika osobne iskaznice ili druge odgovarajuće isprave, procjenu rizika stranke, provjeru statusa politički izložene osobe, praćenje transakcija te provedbu mjera dubinske analize stranke kada je to propisano zakonom.
Društvo je obvezno podatke, informacije i dokumentaciju prikupljene primjenom Zakona o sprječavanju pranja novca i financiranja terorizma čuvati 10 godina od prestanka poslovnog odnosa.
Kategorije podataka: Ime i prezime, datum i država rođenja, OIB, adresa prebivališta/boravišta, podaci o identifikacijskoj ispravi, preslika identifikacijske isprave, državljanstvo, podaci o političkoj izloženosti, podaci o uplatama.
Pravna osnova - Ispunjavanje pravne obveze voditelja obrade, članak 6. stavak 1. točka (c) Opće uredbe o zaštiti podataka.
2.4. Utvrđivanje identiteta potencijalnog člana na daljinu
Sukladno Pravilniku o uvođenju stranke na daljinu i minimalnim uvjetima koje mora ispunjavati rješenje kojim se utvrđuje i provjerava identitet stranke na daljinu Društvo članovima omogućuje učlanjenje u dobrovoljni mirovinski fond putem digitalnog kanala uz sigurnu identifikaciju, odnosno video verifikaciju. S obzirom da postupak video verifikacije podrazumijeva i biometrijsku obradu osobnih podataka, sukladno Zakonu o primjeni Opće uredbe o zaštiti podataka, prije provođenja postupka video verifikacije Društvo će od potencijalnog člana zatražiti privolu za predmetnu obradu podataka.
Postupak video verifikacije je dobrovoljan te je ispitanicima omogućeno učlanjenje u fond uz fizičku identifikaciju na lokacijama prodajne mreže i/ili putem izravnog kontakta s prodajnim zastupnicima, prilikom čega se ne provodi obrada biometrijskih podataka.
Društvo je obvezno podatke, informacije i dokumentaciju prikupljenu primjenom Zakona o sprječavanju pranja novca i financiranja terorizma i na temelju njega donesenih podzakonskih akata čuvati 10 godina od prestanka poslovnog odnosa.
Biometrijski obrađenu snimku lica Društvo čuva tri mjeseca.
Kategorije osobnih podataka: Ime i prezime, datum i država rođenja, OIB, adresa prebivališta/boravišta, podaci o identifikacijskoj ispravi, preslika identifikacijske isprave, državljanstvo, biometrijski obrađena snimka lica.
Pravna osnova - Ispunjavanje pravne obveze voditelja obrade, članak 6. stavak 1. točka (c) Opće uredbe o zaštiti podataka.
Pravna osnova - Privola ispitanika, članak 6. stavak 1. točka a) Opće uredbe o zaštiti podataka za obradu biometrijskih podataka.
2.5. Obvezno informiranje članova
Osobni podaci članova obrađuju se u svrhu ispunjavanja obveze informiranja članova o stanju i kretanju njihove mirovinske štednje, sukladno Zakonu o dobrovoljnim mirovinskim fondovima.
Društvo obrađuje osobne podatke radi dostave redovitih i izvanrednih informacija o osobnom računu člana, uključujući podatke o uplaćenim sredstvima, ostvarenim prinosima, troškovima, vrijednosti obračunskih jedinica te drugim informacijama propisanim zakonom, putem odgovarajućih komunikacijskih kanala (poštanska adresa ili adresa e-pošte).
Kategorije osobnih podataka: Ime i prezime, kontakt podaci (poštanska adresa ili adresa e-pošte).
Podaci se obrađuju za vrijeme trajanja ugovornog odnosa.
Pravna osnova - Ispunjavanje zakonskih obveza voditelja obrade, članak 6. stavak 1. točka c) Opće uredbe o zaštiti podataka.
2.6. Marketinška komunikacija
Osobni podaci članova obrađuju se u svrhu slanja informativnih i promotivnih obavijesti povezanih s učinkovitijim korištenjem dobrovoljne mirovinske štednje.
Marketinška komunikacija uključuje informiranje članova o iznosima i dinamici uplata potrebnima za ostvarivanje punog iznosa državnih poticajnih sredstava, općim preporukama vezanim uz redovitost štednje te drugim informacijama koje su izravno povezane s postojećim članstvom u fondu.
Član u svakom trenutku ima pravo povući privolu za obradu osobnih podataka i odjaviti se s liste primatelja marketinških obavijesti, nakon čega se osobni podaci više neće obrađivati u navedenu svrhu.
Podaci se obrađuju do povlačenja privole.
Pravna osnova - Privola ispitanika, članak 6. stavak 1. točka a) Opće uredbe o zaštiti podataka.
3. Primatelji osobnih podataka
Osobni podaci članova mogu se, u skladu s važećim propisima i u nužnom opsegu, dostaviti nadležnim regulatornim i nadzornim tijelima, primjerice Hrvatskoj agenciji za nadzor financijskih usluga (HANFA), Ministarstvu financija i drugim javnim tijelima kada je to propisano zakonom.
Osobni podaci članova dostupni su vanjskim pružateljima usluga koji osobne podatke obrađuju u ime i po nalogu Društva (izvršitelji obrade) u području informacijsko - komunikacijskih usluga i informatičke podrške, ispisa i kuvertiranja obavijesti i drugim procesima poslovne podrške.
U postupku video verifikacije člana na daljinu koriste se usluge izvršitelja obrade društva Microblink d.o.o. i povezani servisi za pohranu podataka sa sjedištem u Frankfurtu, Njemačka, uz primjenu odgovarajućih zaštitnih mjera (Data Privacy Framework ili standardne klauzule o zaštiti podataka).
4. Mjere zaštite osobnih podataka
Društvo provodi primjerene i sveobuhvatne organizacijske i tehničke mjere zaštite osobnih podataka, uzimajući u obzir prirodu, opseg, okolnosti i svrhe obrade, kao i rizike za prava i slobode ispitanika. Mjere zaštite uspostavljene su i provode se u skladu s Općom uredbom o zaštiti podataka i Uredbom o digitalnoj operativnoj otpornosti financijskog sektora (DORA).
Organizacijske mjere, između ostalog, uključuju jasno definirane interne politike i postupke zaštite podataka i informacijske sigurnosti, razdvajanje ovlasti i odgovornosti, kontrolirani pristup osobnim podacima na temelju poslovne potrebe, vođenje evidencija aktivnosti obrade, kontinuiranu edukaciju zaposlenika te nadzor nad radom izvršitelja obrade.
Tehničke mjere obuhvaćaju primjenu odgovarajućih sigurnosnih rješenja za zaštitu informacijskih sustava i podataka, uključujući autentifikaciju i autorizaciju korisnika, evidentiranje i praćenje pristupa, zaštitu komunikacijskih kanala, redovitu izradu sigurnosnih kopija, upravljanje incidentima te druge mjere usmjerene na sprječavanje neovlaštenog pristupa, gubitka, izmjene ili neovlaštenog otkrivanja osobnih podataka.
5. Prava ispitanika
Ovisno o pravnoj osnovi i načinu obrade podataka ispitanici mogu ostvariti sljedeća prava u vezi s obradom osobnih podataka:
- pravo na pristup osobnim podacima, koje uključuje pravo dobiti potvrdu obrađuju li se osobni podaci te, ako se obrađuju, pristup tim podacima i informacije o svrsi obrade, kategorijama osobnih podataka, primateljima, razdoblju čuvanja i drugim okolnostima obrade;
- pravo na ispravak, odnosno zatražiti ispravak netočnih osobnih podataka ili dopunu nepotpunih podataka;
- pravo na brisanje osobnih podataka, kada osobni podaci više nisu nužni za svrhe za koje su prikupljeni ili obrađivani, odnosno kada ne postoji druga pravna osnova za njihovo daljnje čuvanje, uz napomenu da se ovo pravo može ograničiti kada je obrada nužna radi ispunjavanja zakonskih obveza ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
- pravo na ograničenje obrade, osobito u slučajevima kada se osporava točnost osobnih podataka, kada je obrada nezakonita, ali se ne traži brisanje, kada podaci više nisu potrebni voditelju obrade, ali su potrebni ispitaniku radi pravnih zahtjeva, ili kada je uložen prigovor na obradu;
- pravo na prenosivost podataka, kada se obrada temelji na privoli ili ugovoru i provodi se automatiziranim putem, odnosno pravo zaprimiti osobne podatke u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom obliku te zatražiti njihov prijenos drugom voditelju obrade, kada je to tehnički izvedivo;
- pravo na prigovor, u svakom trenutku, na obradu osobnih podataka koja se temelji na legitimnom interesu voditelja obrade, uključujući obradu u svrhe izravne promidžbe;
- pravo na povlačenje privole, u svakom trenutku, kada se obrada temelji na privoli, pri čemu povlačenje ne utječe na zakonitost obrade prije povlačenja;
Ispitanici mogu uložiti i pritužbu Agenciji za zaštitu osobnih podataka (azop@azop.hr)