OPŠTA PRAVILA PRIVATNOSTI
OPŠTA PRAVILA PRIVATNOSTI
(Opšte obaveštenje o obradi podataka o ličnosti)
1. UVODNE ODREDBE
Opštim pravilima privatnosti (Opštim obaveštenjem o obradi podataka o ličnosti), Naša AIK Banka
a.d. Beograd (u daljem tekstu: Banka, rukovalac) bliže pojašnjava način obrade podataka o ličnosti klijenata, posetilaca poslovnih prostorija banke, posetilaca internet portala i ostalih lica (u daljem tekstu: Lice na koje se podaci odnose) u skladu sa Zakonom o zaštiti podataka o ličnosti (u daljem tekstu: ZZPL), ostalim propisima koji uređuju zaštitu podataka o ličnosti i pratećim podzakonskim aktima.
Ovim dokumentom Banka pruža informacije o sebi, kao rukovaocu, zatim licu za zaštitu podataka o ličnosti, podacima koje Banka prikuplja i obrađuje, svrhama u koje ih obrađuje i pravnom osnovu obrade, obrađivačima , periodu čuvanja podataka o ličnosti, merama zaštite podataka o ličnosti, kao i pravima lica na koje se podaci odnose.
2. VRSTE PODATAKA O LIČNOSTI KOJE BANKA PRIKUPLJA I OBRAĐUJE I KATEGORIJE LICA NA KOJE SE PODACI ODNOSE
Banka prvenstveno prikuplja i obrađuje podatke o ličnosti direktno od lica na koje se podaci odnose.
Banka, u zavisnosti od kategorije xxxx xxxx se podaci obrađuju, obrađuje sledeće vrste podataka o ličnosti:
• Od klijenata, fizičkih lica, korisnika bankarskih proizvoda i usluga, obrađuju se podaci o ličnosti koji su neophodni za zaključenje ugovora, odnosno za pružanje bankarskih usluga, kao što su ime, prezime, kontakt podaci telefon, mail, adresa, podaci iz identifikacionog dokumenta, kao i ostali podaci u zavisnosti od vrste proizvoda, odnosno usluge koju Banka pruža.
• Od posetilaca internet portala Banka prikuplja i obrađuje podatke o ličnosti kao što su ime i prezime, korisničko ime i lozinku, itd. Takođe, od posetilaca internet portala Banke mogu se prikupljati i podaci sadržani u kolačićima, a što je detaljnije definisano Politikom kolačića xxxx xx javno dostupna na internet portalu Banke.
• Od posetilaca poslovnog prostora Banke (sedišta, odnosno centrale Banke)
prikupljaju se i obrađuje ime i prezime, broj identifikacionog dokumenta.
• Od lica kojа komuniciraju ili stupaju u kontakt sa Bankom, prikupljaju i obrađuju se ime i prezime i drugi podaci koje lice na koje se podaci odnose učini dostupnim.
• Od lica snimljenog video nadzorom prikupljaju se i obađuju fotografije i video zapisi na osnovu kojih se može identifikovati lice na koje se podaci odnose.
Banka prikuplja i obrađuje i podatke o ličnosti, dobijene od drugih banaka, xxxxx kojoj Banka pripada ili drugih poslovnih subjekata (npr. za izvršenje naloga ili za ispunjenje drugih ugovornih obaveza), Banka navedene podatke obrađuje u meri u kojoj je to neophodno za pružanje usluga klijentima.
Takođe, Banka u skladu sa zakonom obrađuje podatke o ličnosti prikupljene iz javno dostupnih izvora (npr. registar privrednih subjekata, katastar nepokretnosti).
3. SVRHA I PRAVNI OSNOV OBRADE PODATAKA O LIČNOSTI
Podatke o ličnosti iz xxxxx 2. ovog obaveštenja Banka obrađuje samo u svrhu za koju su podaci prikupljeni i po odgovarajućem pravnom osnovu. U skladu sa xxx Xxxxx prikuplja i obrađuje podatke po sledećim osnovima, i u sledeće svrhe:
• Izvršavanje ugovornih obaveza i/ili preduzimanje radnji na zahtev xxxx xxxx se podaci obrađuju pre zaključenja ugovora
Obrada podataka o ličnosti odvija se u svrhu pružanja usluga radi izvršavanja ugovora između Banke i lica na koje se podaci odnose ili u cilju preduzimanja radnji po zahtevu lica pre sklapanja ugovora.
Svrha obrade podataka zavisi od vrste i predmeta ugovora koji se zaključuje sa Bankom (npr. ugovor o radu, ugovori o pružanju bankarskih proizvoda/usluge (npr. tekući račun, kredit, depozit, i sl.)).
Detaljne informacije o svrsi obrade podataka za pojedini proizvod/uslugu koje banka pruža nalaze se u ugovornoj dokumentaciji konkretnog proizvoda/usluge, opštim uslovima poslovanja i posebnim obaveštenjima o obradi podataka o ličnosti.
• Legitimni interes Banke ili xxxxx xxxxxx
Banka, samo izuzetno, obrađuje podatke o ličnosti radi ostvarivanja legitimnog interesa kao što je fizička zaštita poslovne imovine, poslovnog prostora i čuvanja bezbednog okruženja za zaposlene i posetioce, na način da su zaštićena osnovna prava lica na koje se podaci odnose (video nadzor, identifikacija itd).
Banka može i u drugim slučajevima da obradu podataka o ličnosti zasniva na ostvarivanju svojih legitimnih interesa ili legitimnih interesa xxxxx xxxxxx, dok nad xxx interesima ne pretežu interesi ili osnovna prava i slobode lica na koje se podaci odnose, u skladu sa ZZPL.
• Informisani pristanak lica na koje se podaci odnose, uz prethodno obaveštenje lica na koje se podaci odnose o svim bitnim aspektima obrade
Ukoliko lice na koje se podaci odnose da Banci pristanak za obradu podataka o ličnosti u jednu ili više tačno određenih svrha, zakonitost takve obrade zasniva se na xxx pristanku.
U slučajevima xxxx xx pravni osnov obrade podataka o ličnosti pristanak lica na koje se podaci odnose, Banka prethodno obaveštava lice na koje se podaci odnose o svim bitnim aspektima obrade.
Pristanak lica na koje se podaci odnose je dobrovoljan, izričit, informisan i nedvosmislen i može se povući u bilo kom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade xxxx xx vršena na osnovu pristanka pre opoziva.
• Poštovanje pravnih obaveza Banke ili obrada u cilju ostvarivanja javnog interesa
Kao kreditna institucija i institucija platnog sistema, Xxxxx xx u obavezi da ispunjava obaveze po pitanju različitih zakona kao što su Zakon o sprečavanju pranja novca i finansiranja terorizma, Zakon o bankama, Zakon o platnim uslugama, Zakon o deviznom poslovanju, Zakon o zaštiti korisnika finansijskih usluga, Zakon o porezu na dohodak građana, Zakon o hipoteci, Zakon o založnom pravu na pokretnim stvarima upisanim u registar, Zakon o radu i drugih zakona primenjivih na poslovanje Banke, kao i zahteva regulatora, Narodne banke Srbije (u daljem tekstu: NBS), Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik) i drugih državnih organa. Iz tog razloga Banka obrađuje podatke o ličnosti i u cilju postupanja u skladu s pravnim obavezama, te zahtevima regulatora, odnosno u svrhu dostavljanja podataka regulatoru, nadležnim državnim organima, postupanja u slučaju sumnje na pranje novca i dr.
4. PRISTUP I PRENOS PODATAKA O LIČNOSTI
4.1. Obrada podataka o ličnosti xx xxxxxx Xxxxx
Unutar Banke, pristup podacima o ličnosti imaju one organizacione jedinice koje te podatke obrađuju u svrhu ispunjenja ugovornih i zakonskih obaveza te ostvarivanja legitimnih interesa Banke i trećih lica.
Zaposleni u Banci, odnosno druga radno angažovana xxxx xxxx imaju pristup ili na drugi način obrađuju podatke o ličnosti, obavezna su da postupaju u skladu sa zakonom, kao i da se pridržavaju svih mera propisanih u cilju zaštite podataka o ličnosti.
4.2. Obrada podataka o ličnosti xx xxxxxx nadležnih državnih organa, obrađivača, zajedničkih rukovalaca i drugih primalaca podataka
Banka podatke o ličnosti lica na koje se podaci odnose može staviti na uvid i/ili dostaviti bankarskoj grupi kojoj pripada, Kreditnom birou Udruženja banka Srbije, eksternim revizorima radi obavljanja zakonom propisane eksterne revizije kao i sledećim ovlašćenim državnim organima i regulatornim telima u skladu sa važećom regulativom:
• NBS;
• nadležnim sudovima i tužilaštvima;
• Upravi za sprečavanje pranja novca;
• nadležnim poreskim organima;
• drugim državnim organima xxxx xxxx obavljanja poslova iz svoje nadležnosti moraju imati xxxxxxx xxx podacima.
Podaci o ličnosti mogu se podeliti sa državnim organima ako je to neophodno za ispunjenje pravnih obaveza Banke, pod uslovom da je korišćenje podataka o ličnosti xx xxxxxx državnih organa ograničeno na minimum potreban za ispunjavanje konkretnih pravnih zahteva.
Takođe, Banka podatke o ličnosti lica na koje se podaci odnose može staviti na uvid i/ili dostaviti licima xx xxxxxx ima zaključene ugovore o poveravanju aktivnosti kao što su:
• Kompanije za fizičko obezbeđenje;
• Kompanije koje održavaju informacione sisteme Banke;
• Kompanije za naplatu potraživanja vansudskim putem (u pojedinim slučajevima docnje);
• Xxxxx xxxx xx xxxxxx Xxxxx xxx zaključene ugovore o poveravanju aktivnosti, ugovore o poverljivosti i/ili ugovor kojim se reguliše zaštita podataka.
Sva navedena lica su obavezna da implementiraju mere zaštite podataka, u skladu sa važećim zakonima i uputstvima, odnosno u skladu sa ugovorom zaključenim sa Bankom.
Banka ima zaključene ugovore o obradi podataka o ličnosti sa svim obrađivačima podataka o ličnosti kao i sa zajedničkim rukovoacima podacima o ličnosti u skladu sa ZZPL.
4.3. Mesto obrade podataka o ličnosti
Većinu radnji obrade podataka o ličnosti sprovode obrađivači koji svoje poslovne aktivnosti obavljaju na lokacijama u Republici Srbiji. Međutim, neke od radnji obrade podataka mogu pružiti i obrađivači koji su inkorporirani i aktivni u Evropskoj uniji ili trećim zemljama.
Transfer u takve zemlje se obavlja:
• Na osnovu odluke o adekvatnosti za zemlje Evropske unije/Evropskog ekonomskog prostora u skladu sa članom 64. ZZPL. Prekogranični transfer u ove zemlje je xxxxxxxx (bez prethodnog odobrenja Poverenika u skladu sa članom 64. stav 2. ZZPL);
• Na osnovu odgovarajućih mera zaštite u skladu sa članom 65. stav 2. ZZPL, što uključuje i standardne ugovorne klauzule o zaštiti podataka o ličnosti koje donosi Poverenik.
Odgovarajuće mere zaštite iz mogu se obezbediti, u skladu sa članom 65. stav 3. ZZPL i na osnovu posebnog odobrenja Poverenika:
1. ugovornim odredbama između rukovaoca ili obrađivača i rukovaoca, obrađivača ili primaoca u drugoj državi ili međunarodnoj organizaciji;
2. odredbama koje se unose u sporazum između organa vlasti, a kojima se obezbeđuje delotvorna i sprovodiva zaštita prava lica na koje se podaci odnose.
5. MERE ZAŠTITE PODATAKA O LIČNOSTI
Banka redovno nadzire svoje interne procese, tehničke, organizacione i kadrovske mere zaštite kako bi se osiguralo da obrada podataka o ličnosti za xxxx xx odgovorna bude u skladu sa ZZPL- om. U Xxxxx xx uspostavljen sistem upravljanja informacionom bezbednošću kao i podele odgovornosti i definisanje pratećih procedura, standarda i pravila u skladu Zakonom o informacionoj bezbednosti i Odlukom NBS o minimalnim standardima upravljanja informacionim sistemom finansijske institucije kao i grupnim pravilima i najboljim praksama. Banka u okviru svoje poslovne organizacije sprovodi sve neophodne aspekte zaštite podataka (organizacione, tehničke i kadrovske), uključujući tu, ali se ne ograničavajući na:
- tehničke mere zaštite;
- kontrolu fizičkog pristupa sistemu gde su pohranjeni podaci o ličnosti;
- kontrolu pristupa podacima;
- kontrolu prenosa podataka;
- kontrolu unosa podataka;
- kontrolu dostupnosti podataka;
- ostale mere informacione bezbednosti i mere koje su neophodne za zaštitu podataka o ličnosti.
Obrađivači, zajednički rukovaoci i samostalni rukovaoci su takođe obavezni da poštuju mere zaštite podataka o ličnosti.
6. ROK ČUVANJA PODATAKA O LIČNOSTI
Banka obrađuje podatke o ličnosti u vremenskom okviru koji je adekvatan za ispunjenje određene svrhe. Banka nastoji da podatke xxxx u periodu koji je neophodan da se određena, konkretna svrha ostvari, nakon čega se podaci brišu ili anonimiziraju.
Konkretan period čuvanja je propisan za svaku pojedinačnu svrhu i o tome se svako lice na koje se podaci odnose unapred informiše u odgovarajućem dokumentovanom formatu (obaveštenje o obradi podataka o ličnosti).
7. PRAVA LICA NA KOJE SE PODACI ODNOSE
Lice na koje se podaci odnose može zahtevati xx Xxxxx:
• pružanje informacija da li Banka obrađuje njegove/njene podatke o ličnosti kao i xxxxxxx xxx podacima (pravo na pristup);
• da se njegovi/njeni netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, Lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave (pravo na ispravku);
• brisanje podataka o ličnosti (pravo na brisanje);
• da podatke o ličnosti koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku (pravo na prenosivost podataka);
• da uloži prigovor na obradu njegovih/njenih podataka o ličnosti, ako je svrha obrade podataka legitiman interes rukovaoca ili xxxxx xxxxxx, ili izvršenje zadataka u javnom interesu ili radi izvršenja zakonom propisanih ovlašćenja rukovaoca, uključujući i profilisanje u oba slučaja (pravo na prigovor);
• ako se primenjuje automatizovano donošenje odluke, da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke, te pravo da izrazi svoj stav u vezi sa ovako donetom odlukom;
• da uloži pritužbu u vezi sa obradom podataka o ličnosti Povereniku, te pravo na odgovarajuće pravno sredstvo u skladu sa ZZPL-om.
Ova prava lice na koje se podaci odnose može da ostvari i popunjavanjem Zahteva za ostvarivanje prava, xxxx xxxx preuzeti sa internet portala Banke (xxx.xxxxxxxxxxxx.xx ) ili u bilo kojoj ekspozituri Banke.
Pre odobravanja zahteva Lica na koje se podaci odnose, Banka ima pravo da zatraži dodatne informacije od lica na koje se podaci odnose, radi preciziranja zahteva.
Banka informiše Lice na koje se podaci odnose o postupanju na osnovu zahteva bez odlaganja, a najkasnije u roku od 30 xxxx od xxxx prijema zahteva. Ovaj rok može biti produžen za xxx 60 xxxx ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje Xxxxx xx dužna da obavesti Lice na koje se podaci odnose u roku od 30 xxxx od xxxx prijema zahteva.
U slučaju sumnje Banke u vezi sa identitetom stranke koja podnose zahtev iz xxx xxxxx, Banka može zatražiti dodatne informacije za potvrdu identiteta lica na koje se podaci odnose, uz ostavljanje dodatnog roka za postupanje po zahtevu za dostavljanje dodatne dokumentacije.
Ako se ne dobiju svi podaci neophodni za identifikaciju lica na koje se podaci odnose, odnosno ovo lice ne postupi po zahtevu za dostavljanje dodatne dokumentacije, Xxxxx xx ovakav zahtev odbaciti kao nepotpun, i ako je to moguće (lice na koje se podaci odnose ostavilo svoje kontakt podatke), obavestiće ovo lice o odbacivanju zahteva, uz obrazloženje navedene odluke.
Banka može da naplati nužne administrativne troškove pružanja informacije ili postupanja po zahtevu, odnosno može da odbije da postupi po zahtevu, ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja.
8. AUTOMATIZOVANO DONOŠENJE POJEDINAČNIH ODLUKA I PROFILISANJE
Lice na koje se podaci odnose ima prava da ne bude deo obrade koja se zasniva isključivo na automatizovanoj obradi, uključujući izradu profila, koja proizvodi pravna dejstva koji se odnose na lice na koje se podaci odnose ili na sličan način značajno utiču.
Navedeno se, u skladu sa članom 38. stav 2. ZZPL ne primenjuje, ako je odluka:
• neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
• zasnovana na zakonu, ako xx xxx zakonom propisane odgovarajuće mere zaštite prava, xxxxxxx i legitimnih interesa lica na koje se podaci odnose;
• zasnovana na izričitom pristanku lica na koje se podaci odnose.
U slučaju iz tač. 1) i 3) prethodnog stava, Xxxxx xx dužna da primeni odgovarajuće mere zaštite prava, xxxxxxx i legitimnih interesa lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom Banke u donošenju odluke, pravo lica na koje se podaci odnose da izrazi svoj stav u vezi sa odlukom, kao i pravo lica na koje se podaci odnose da ospori odluku pred ovlašćenim licem rukovaoca.
U slučaju potrebe za korišćenjem ovih postupaka u pojedinačnim slučajevima, xxxxx xx obavestiti lice xxxx xx podaci predmet profilisanja pre započinjanja ovog vida obrade.
Banka koristi profilisanje u sledećim slučajevima:
- u skladu sa zahtevima Xxxxxx o sprečavanju pranja novca i finansiranja terorizma. To uključuje analizu podataka (transakcijska plaćanja);
- u cilju obaveštavanja i savetovanja o proizvodima, benefitima posebnih programa u svrhu boljeg uvida u potrebe lica na koja se podaci odnose koja su dala pristanak na obradu podataka o ličnosti u svrhu direktnog marketinga. U ovu svrhu Banka koristi kontakt
podatke lica na koje se podaci odnose koja su dala pristanak na obradu podataka o ličnosti u svrhu direktnog marketinga;
- prilikom odobravanja kredita Banka koristi „scoring“ za procenu kreditne sposobnosti lica na koje se podaci odnose u svrhu izračunavanja verovatnoće kojom će ovo lice, kao klijent Banke, ispuniti svoje obaveze plaćanja u skladu sa odredbama ugovora. U cilju izračunavanja, Banka obrađuje podatke o ličnosti lica na koje se podaci odnose (npr. bračno stanje, broj dece, trajanje radnog odnosa, poslodavac i dr.), podatke vezane za finansijsko stanje (primanja, imovina, mesečni izdaci, osiguranja i dr.) i podatke vezane za plaćanje obaveza (npr. urednost pri otplati anuiteta kredita, opomena i dr.).
9. PRAVO NA PRIGOVOR
Ukoliko je obrada podataka neophodna za ostvarivanje legitimnog interesa Banke ili neke xxxxx xxxxxx, lice na koje se podaci odnose ima pravo da podnese prigovor na ovakvu obradu u te svrhe, uključujući i profilisanje koje se zasniva na xxx odredbama.
Xxxxx xx dužna da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočila da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj xx xxx povezano sa direktnim oglašavanjem.
Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja, podaci o ličnosti ne mogu se dalje obrađivati u takve svrhe.
10. KONTAKT PODACI LICA ZA ZAŠTITU PODATAKA O LIČNOSTI (DATA PROTECTION OFFICER)
Lice na koje se podaci odnose, u vezi sa svim pitanjima koja se odnose na obradu podataka o ličnosti, se može obratiti licu za zaštitu podataka o ličnosti kod Banke putem imejl adrese: xxxxxxx_xxxxxxxx@xxxxxxxxxxxx.xx i/ili pismeno na adresu Xxxxxxx Xxxxxxx Xxxxxx 000x, Xxxx Xxxxxxx, sa naznakom „za Lice za zaštitu podataka o ličnosti“.
11. PRAVNA SREDSTVA
Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o ličnosti izvršena suprotno odredbama ZZPL-a.
Kontakt podaci Poverenika:
Internet adresa: xxxxx://xxx.xxxxxxxxx.xx/
Adresa: Xxxxxxx Xxxxxx Xxxxxxxxxx 00, 00000 Xxxxxxx Poštanski broj: 11200
E-mail adresa: xxxxxx@xxxxxxxxx.xx Telefon: x00000 0000 000
Faks: x00000 0000 000