Pravila o privatnosti i informacije o obradi ličnih podataka


Verzija br. 1, primjenjiva od 24.05.2023. godine

INA/EP CLUB program lojalnosti je program nagrađivanja članova INA/EP CLUB program lojalnosti u kojem članovi mogu sakupljati bodove lojalnosti na temelju kojih imaju pravo na različite pogodnosti. Kada se članovi registriraju u INA/EP CLUB program lojalnosti i koriste INA/EP CLUB programa lojalnosti, dolazi do obrade njihovih ličnih podataka, koja je nužna za ostvarenje pogodnosti putem INA/EP CLUB programa lojalnosti odnosno efektivno korištenje programa i svih benefita koje program donosi našim članovima. U ovoj Informaciji o obradi ličnih podataka pojašnjeni su razlozi obrade vaših ličnih podataka u okviru INA/EP CLUB programa lojalnosti, način na koji prikupljamo, obrađujemo i osiguravamo zaštitu svih pruženih ličnih podataka, način na koji se informacije upotrebljavaju i koja su vaša prava u vezi vaših ličnih podataka. Također su navedeni kontaktni podaci odgovornih voditelja obrade kojima se možete obratiti za ostvarivanje svojih prava, te službenika za zaštitu podataka. HOLDINA d.o.o. Sarajevo (dalje u tekstu: „HOLDINA“) i ENERGOPETROL d.d. Sarajevo (dalje u tekstu: „ENERGOPETROL“) djeluju kao zajednički voditelji obrade u odnosu na obradu ličnih podataka članova INA/EP CLUB programa lojalnosti, budući da zajednički određuju svrhu i sredstva obrade podataka te su solidarno odgovorni za obradu podataka. U sklopu zajedničkog vođenja obrade podataka, HOLDINA odlučuje o strukturi INA/EP CLUB programa lojalnosti, dozvoljenom obimu i upotrebi ličnih podataka koji se obrađuju tokom trajanja INA/EP CLUB programa lojalnosti (npr. sistem statusa). Zajednički voditelji obrade podataka koriste ovu zajedničku Informaciju o obradi ličnih podataka, koja uključuje njihovu ulogu i odnos s relevantnim članovima.


Pojmovi definirani u Pravilima INA/EP CLUB programa lojalnosti imaju isto značenje kao i u ovoj Informaciji o obradi ličnih podataka.



Opis i svrha obrade


Pravna osnova obrade

Obim obrađenih podataka i

njihov izvor


Razdoblje obrade podataka

Primatelj u

prijenosu podataka

Izvršitelj obrade

podataka i njegova aktivnost

Omogućivanje sudjelovanja u INA/EP CLUB programu lojalnosti, izrada kartice, kao i omogućivanje funkcioniranja INA/EP CLUB programa lojalnosti (uključujući prestanak istog), npr. kontakti s članovima.



Na primjer: članovi tokom postupka registracije mogu primati e-mail poruke o stanju njihove registracije i članstva, informacije o tome šta je potrebno za dovršetak registracije, e-mail poruke za potvrdu i podsjetnike vezane za potvrdu ili informacije o INA/EP CLUB programu lojalnosti - npr. kako funkcioniraju različiti statusi, kako se bodovi prikupljaju i koriste za nagrade, obavijesti o unaprjeđenju statusa, obavijesti o prelasku u niži status, obavijesti o obnovi statusa; također, slična se obrada provodi u slučaju zahtjeva člana za novom karticom INA/EP CLUB programa lojalnosti (npr. u slučaju krađe ili uništenja).



Članovi također dobivaju personalizirane mjesečne informacije o statusu i pogodnostima, stanju bodova, informacije o tome što je potrebno za prelazak u drugi status. Ove personalizirane informacije odnose se samo na praktične informacije (npr. registracija, upotreba kartice i slične radnje) povezane s korištenjem kartice INA/EP CLUB programa lojalnosti (informacije o obradi podataka u marketinške svrhe se nalaze u nastavku).



U slučaju da se uposlenici na maloprodajnim mjestima odluče registrirati u INA/EP CLUB program lojalnosti, omogućava im se sudjelovanje u Programu.

Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine



Čl. 6 (1) (b) GDPR-a



- obrada je nužna za izvršavanje Pravila

INA/EP CLUB programa lojalnosti, dostupna na linku: www.inaepclub.ba , koje je član prihvatio, ili kako bi se poduzele radnje na zahtjev člana prije njegove registracije u INA/EP CLUB program lojalnosti.

Minimalni zahtjevi za registraciju:

ime (ime i prezime), e-mail adresa, broj telefona, mjesto stanovanja



Neobavezni podaci za registraciju:

spol i datum rođenja (za potrebe jednostavnije identifikacije u slučaju zahtjeva podnesenih kontakt centru)



Podaci povezani s karticom nakon registracije:

informacije o prihvaćanju INA/EP CLUB programa lojalnosti (opći uvjeti INA/EP CLUB programa lojalnosti), ove Informacije o obradi ličnih podataka te izjave da je maloljetni član stariji od 16 godina, broj kartice INA/EP CLUB programa lojalnosti, podaci o upotrebi INA/EP CLUB programa lojalnosti (npr. podatci o transakcijama), lozinka u slučaju mrežne prijave (pohranjuje se samo šifrirana verzija lozinke), datum registracije, podatci o saglasnostima vezanim uz privatnost (npr. za personalizirani marketing), stanje aktivnosti člana (npr. aktivnost, neaktivnost), ostala priopćenja od člana (npr. pritužbe, upiti), kampanje dodijeljene članu na temelju njegovog/njenog statusa, u svrhu evidencije bodova i sudjelovanja u igrama i/ili izazovima programa), korištenje samonaplatnih uređaja za kafu na HOLDINA i ENERGOPETROL maloprodajnim mjestima.



Izvor podataka:

dao ih je član/dobiveni su putem upotrebe kartice lojalnosti.



Sudjelovanje u Programu pogodnosti za prodavače na maloprodajnim mjestima:

obrađuju se lični podaci prodavača na maloprodajnim mjestima u istom obimu kao i svih drugih korisnika.



Izvor podataka:

korisnik koji je prodavač na maloprodajnom mjestu.

Tokom razdoblja u kojem član sudjeluje u INA/EP CLUB programu lojalnosti ili do prestanka INA/EP CLUB programa lojalnosti, pod sljedećim uslovima:



  1. U slučaju deaktivacije članskog računa, podaci članskog računa brišu se u roku 30 dana od dana izvršenja deaktivacije. Deaktivacija može biti:



    1. na zahtjev člana – ako član zatraži prekid sudjelovanja u INA/EP CLUB programu lojalnosti putem deaktivacije članskog računa. U tom slučaju se deaktivacija izvršava u roku od 72 sati od dana zaprimanja zahtjeva i potvrde identiteta člana. Podaci se brišu u roku 30 dana od izvršenja deaktivacije ako član nije zatražio reaktivaciju računa.

  1. na zahtjev HOLDINA-e zbog nedovršene registracije;

  2. na zahtjev HOLDINA-e zbog neaktivnosti kada će HOLDINA

deaktivirati članski račun i Karticu

lojalnosti onih članova koji nisu koristili svoje kartice lojalnosti 1 godinu prije datuma provjere. HOLDINA će o deaktivaciji članu dostaviti obavijest 30 dana prije datuma deaktivacije. Podaci se brišu u roku 30 dana od izvršenja deaktivacije ako član

nije zatražio

reaktivaciju računa.

iv. na zahtjev HOLDINA-e zbog kršenja pravila programa po

utvrđenom kršenju i uz obavijest članu 30 dana prije dana deaktivacije, osim u slučajevima teškog

kršenja, kada slijedi

deaktivacija s

trenutnim učinkom.


B. Ako član zatraži prekid sudjelovanja u INA/EP CLUB programu lojalnosti putem zahtjeva za brisanje ličnih

podataka evidentiranih u INA/EP CLUB

programu lojalnosti, isto se vrši bez odgađanja, a

najkasnije u roku od 48 sati od dana zaprimanja zahtjeva.

Neovisno o gore navedenom, HOLDINA će čuvati lične podatke članova 1 godinu za slučaj mogućih zahtjeva podnesenih prema HOLDINA-i

(npr. potraživanje štete, zbog

stečenih, a neiskorištenih

pogodnosti/nagrada), ako:


  1. HOLDINA prekine sudjelovanje člana INA/EP CLUB programu lojalnosti zbog kršenja Pravila programa ili do prestanka INA/EP CLUB programa lojalnosti (razdoblje pohrane podataka počinje na dan prestanka samog programa ili sudjelovanja članova u programu);

  2. HOLDINA deaktivira INA/EP CLUB programa lojalnosti (razdoblje

čuvanja podataka od jedne godine počinje teći istekom 30 dana od deaktivacija).

U odnosu na informacije

o transakcijama, u skladu sa Zakonom o računovodstvu i reviziji, računovodstvene dokumente (poput faktura) koji sadrže datum i vrijeme

transakcije i uplaćeni iznos čuvat će se zakonom definisanom roku. Mogu se primijeniti i druga razdoblja

pohrane podataka, kako je

opisano u relevantnim svrhama

obrade podataka u nastavku, ako je podatke potrebno čuvati u druge dolje navedene svrhe.

IPC

Mihovljanska ul. 72, 40000, Čakovec, Hrvatska



Aktivnosti: definiranje i izvršavanje procesnih koraka koji se odnose na registraciju u INA/EP CLUB programu lojalnosti, komunikacija i rješavanje problema, na primjer, rješavanje upita i pritužbi korisnika te svi podaci koji dolaze iz centra za korisničku podršku koji se odnose na INA/EP CLUB

programu lojalnosti.

Upravljanje sistemom statusa i pohranjivanje bodova te stanja istih.


Poslužitelji servisa IPC

nalazi se u Republici

Hrvatskoj, a poslužitelji za sigurnosno kopiranje se nalaze u Republici Hrvatskoj.


PLAVI TIM

d.o.o. (sjedište: Ulica grada Vukovara 18,

10000 Zagreb, Hrvatska)

- pružanje informatičkih usluga i usluga vezanih uz poslužitelje koje su usko povezane s obradom podataka.


TOP RAČUNOVODSTVO

SERVISI d.o.o., (sjedište: Savska cesta 41, 10000 Zagreb, Hrvatska; info-trs@trs.ina.hr)


Aktivnosti: pružanje podrške u pogledu knjigovodstva i pitanja vezanih uz poreze


Mjerenje i poboljšanje izvedbe i učinkovitosti prodaje proizvoda i marketinških kampanja.

U ovu svrhu voditelji obrade podataka analiziraju prodajne i druge podatke do nivoa člana (prihodi servisnih stanica,

prodani proizvodi, učestalost kupovine člana, vrsta proizvoda koju član kupuje, sklonost

određenim proizvodima/uslugama, i sl.) kako bi na temelju podataka mogli donositi poslovne odluke.

Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine

Članak 6. (1) (f) GDPR-a (obrada je nužna za

legitimne interese

voditelja obrade). Legitimni interes je mjerenje i poboljšanje učinka i učinkovitosti prodaje proizvoda i marketinških kampanja.


U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka koja se temelji na legitimnom interesu.

Broj članskog računa, podaci profila (ako su navedeni), datum rođenja (ako su navedeni), vrsta registracije, rezultati ankete, informacije o pristanku člana (npr. za personalizirani marketing), status člana (npr. aktivan, neaktivan), kampanje dodijeljene članu temeljem njegovog statusa (Regular, Plus, Premium ili Ultra), broja kartice lojalnosti i podaci o

korištenju iste (npr.

informacije o transakcijama).

Izvor podataka: dao ih je

član/dobiveni su putem upotrebe kartice lojalnosti.

Razdoblje obrade podataka je razdoblje dok je član sudionik INA/EP CLUB programa lojalnosti.




Slanje općih marketinških poruka (reklama), promotivnih ponuda te izazova putem e-maila, SMS-a, Vibera i aplikacije ako ju preuzmete.


Slanje zahtjeva za sudjelovanje

u istraživanju tržišta te

istraživanja zadovoljstva člana putem e-maila, telefonskih upita, upita putem SMS-a i Vibera te putem aplikacije ako ju preuzmete.

Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine


Član 6. stavka 1. tačka

(f) GDPR-a

- obrada je nužna za potrebe legitimnih interesa voditelja obrade: u svrhu upoznavanja člana s proizvodima i uslugama voditelja obrade podataka, u svrhu promicanja aktivnosti voditelja obrade podataka te u svrhu

razumijevanja mišljenja i očekivanja člana.


U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka, koja se temelji na legitimnom interesu.

Ime i prezime, adresa e-mail i broj telefona člana (ako su navedeni u fazi registracije) i člansko ime u aplikaciji (adresa e-mail), sadržaj promotivnih poruka.

Za istraživanje tržišta ili

ankete o zadovoljstvu člana:

podaci o upotrebi kartice lojalnosti, podaci zabilježeni ili generirani tijekom

istraživanja tržišta.


Izvor podataka: član.

Do prigovora određenog ispitanika, a u suprotnom sve dok član sudjeluje u INA/EP CLUB programu lojalnosti.

-

BH Telecom d.d. Sarajevo, Zmaja od Bosne 88, Sarajevo Aktivnosti: provedba slanja marketinških SMS i e-mail poruka.


Slanje prilagođenih, personaliziranih marketinških poruka (reklama), promotivnih ponuda, izazova i promocija ovisno o vašim kupovnim navikama (posebni oblici ponuda baziranih na profiliranju člana su automatizirane ponude za zadržavanje članova, povećanje korpe, učestalosti kupovina, itd.), vrsti računa ili

aktivnosti u programu putem e-maila, SMS-a, Vibera i aplikacije

ako ju preuzmete.


Određene marketinške poruke šalju se na temelju profiliranja člana.


Bez saglasnosti članovima ne

šaljemo prilagođene

marketinške poruke (reklame),

promotivne ponude, niti

izrađujemo profile članova bez saglasnosti.

Čl. 5(1) Zakon o zaštiti ličnih podataka Bosne i Hercegovine

(„Saglasnost nosioca

podataka“) i


Član 6. stavka 1. tačka

(a) GDPR-a

(dobrovoljna saglasnost ispitanika) – primjenjiva je u svim slučajevima marketinga

osim izravnog

marketinga putem e-

maila, što je opisano u

nastavku.


Profiliranje se također temelji na izričitoj suglasnosti članova (Čl. 5(1) Zakon o zaštiti

ličnih podataka Bosne i Hercegovine i član 22. stavka 2. tačka c GDPR-a).

Ime i prezime, adresa, e-mail, broj telefona i člansko ime člana u aplikaciji (adresa e-pošte), datum rođenja, spol, grad, poštanski broj, broj kartice lojalnosti, podaci o upotrebi kartice lojalnosti, obim interesa koji se tiču usluga/proizvoda koji se nude, odgovori na dodatna pitanja (npr. podaci prikupljeni putem anketa).

Izvor podataka: daje ih

ispitanik

(član)/podaci dobiveni profiliranjem člana (profile izrađuju voditelji obrade).

Sve dok član ne uskrati saglasnost, a inače sve dok relevantni član sudjeluje u INA/EP CLUB programu lojalnosti.



BH Telecom d.d. Sarajevo, Zmaja od Bosne 88, Sarajevo Aktivnosti: provedba slanja marketinških SMS i e-mail poruka


IPC

Mihovljanska ul. 72,

40000, Čakovec,

Hrvatska

Aktivnosti: kreiranje i

održavanje

automatiziranih procesa za (1) izradu personaliziranih ponuda, (2) proces strojnog učenja i (3) izradu evaluacijskih

izvještaja.


Sprječavanje, otkrivanje i istraga prijevara i zloupotreba povezanih s INA/EP CLUB programom lojalnosti.


Na primjer, voditelji obrade podataka će čuvati lične podatke člana ako je sudjelovanje člana u INA/EP CLUB programu lojalnosti prijevremeno prekinuto s

trenutnim učinkom zbog kršenja ugovornog odnosa, zloupotrebe ili drugog nezakonitog ponašanja.

Voditelj obrade podataka

analizira posebne izvještaje kako

bi detektirao potencijalne

prijevare (npr. na temelju broja

transakcija po danu, broja posjećenih maloprodajnih mjesta unutar jednog dana za jednog člana). Rezultat ovih

izvještaja može biti temelj

daljnje istrage.


U svrhu sprječavanja i istrage aktivnosti prijevare i zloupotrebe primjenjuje se i Etički kodeks INA Grupe koji je dostupan na: https://www.ina.hr/wp-

content/uploads/2020/01/eticki-kodeks-ina-grupe-web-2.pdf

Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine.


Član 6. stavka 1. tačka

(f) GDPR-a


- obrada je nužna za potrebe legitimnih interesa voditelja obrade: u svrhu sprječavanja i

otkrivanja nedoličnog ponašanja, što može

ugroziti imovinu, poslovne tajne, prava

intelektualnog

vlasništva, poslovni ugled i zdravo radno okruženje (zasnovano na poštovanju, bez tjeskobe i odmazde) voditelja obrade podataka; u svrhu

utvrđivanja

odgovornosti

određenih osoba.


U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka koja se temelji na legitimnom interesu.

Ime i prezime, broj kartice lojalnosti, podaci o upotrebi kartice lojalnosti, podaci generirani tokom istrage.

Voditelj obrade podataka obrađuje podatke potrebne za istragu, npr. broj kartice lojalnosti s ostalim

„podacima iz fakture“ (npr. ime i prezime, količina artikla, cijena proizvoda

(više proizvoda), mjesto i vrijeme kupnje itd.) u svrhu otkrivanja i istrage potencijalne zloupotrebe

kartice lojalnosti, sve dok je to potrebno za istragu.


Izvor podataka: ispitanik ili bilo koje izvještaj o ispitaniku ili srodni postupak.

  1. Voditelji obrade će koristiti

    lične podatke određenog člana tijekom razdoblja od 1 godine u svrhu sprječavanja nove registracije tog člana ako je sudjelovanje člana u INA/EP CLUB programu lojalnosti prijevremeno prekinuto s

    trenutnim učinkom zbog

    kršenja ugovora, zloupotrebe ili drugog nezakonitog ponašanja.


  2. Ako je uspostavljen etički postupak u koji nisu uključeni samo članovi ili treće strane, već i zaposlenici, svi podaci koji

se odnose na Etički postupak

i/ili Etičko izvještaj čuvaju se

tokom radnog odnosa

zaposlenika i petogodišnjeg

razdoblja nakon toga, počevši od kraja godine u kojoj je radni odnos završio.


U odnosu na etički postupak u koji nisu uključeni zaposlenici, svi podaci koji se odnose na

istragu, etički postupak i/ili

etičko izvješće čuvaju se tokom petogodišnjeg vremenskog

razdoblja, počevši od kraja godine u kojoj je određeni postupak okončan i obustavljen.


Bez obzira na gore navedeno, zapisnici Etičkog povjerenstva čuvaju se tijekom

petogodišnjeg razdoblja,

počevši od kraja godine u kojoj je zapisnik izrađen.


3. Ako se poduzimaju mjere na temelju istrage, uključujući radnje protiv osobe koja je podnijela prijavu zbog pokretanja pravnog postupka ili poduzimanje disciplinskih mjera i radnje osobe koja je podnijela prijavu protiv INA-e zbog pokretanja pravnog

postupka, svi podaci koji se

odnose na etički postupak

mogu se obrađivati do pravomoćnog okončanja pokrenutog postupka.

U slučajevima kada HOLDINA ili ENERGOPETROL

pokrenu etičku istragu, članovi Etičkog povjerenstva

imat će pristup podacima potrebnim za vođenje postupka.



Upravljanje pritužbama članova u vezi s INA/EP CLUB programom lojalnosti, koje članovi upute na e-mail

adresu: info@inaepclub.ba

ili putem telefona: 080 02 03 13


Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine


Član 6. stavka 1. tačka

(f) GDPR-a


– obrada je nužna za potrebe legitimnih interesa voditelja obrade: u svrhu obrade, odgovora i zadovoljavajućeg

rješenja pritužbi članova.


U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka, koja se temelji na

legitimnom interesu.

Ime, prezime, e-mail adresa, broj članskog računa, broj kartice lojalnosti, sadržaj

pritužbe, drugi podaci o korištenju INA/EP CLUB programa lojalnosti od strane članova, koji su relevantni za obradu i

rješavanje pritužbe.


Izvor podataka: član i podaci iz INA/EP CLUB programa lojalnosti.

Razdoblje obrade podataka je razdoblje dok je član sudionik INA/EP CLUB programa lojalnosti.




Odbrana pravnih zahtjeva voditelja obrade u vezi s INA/EP CLUB programom lojalnosti. To uključuje npr. odbranu u

sporovima i postupcima

pokrenutim pred nadležnim

tijelima koje su pokrenuli članovi u vezi s INA/EP CLUB programom lojalnosti ili temeljem Zakona o zaštiti ličnih podataka BiH ili temeljem članka

17. stavka 3. točke e) GDPR-a.

Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine

Član 6. stavka 1. tačka

(f) GDPR-a


- obrada je nužna za potrebe legitimnih interesa voditelja obrade: postavljanje i uspješna obrana pravnih zahtjeva u slučaju potencijalnog pravnog ili drugog službenog postupka (npr. sudski postupak koji je pokrenuo član, upravni ili drugi izvansudski postupak

itd.).

Ime i prezime, adresa e-pošte, broj telefona (samo ako se spor odnosi na zakonitost obrade istog),

datum rođenja, broj kartice

lojalnosti i podaci o upotrebi

kartice lojalnosti ako su potrebni za ostvarivanje prava ili rješavanje pravnih

sporova u kontekstu INA/EP CLUB programa lojalnosti.

Za svaki postupak obrade podataka utvrđuje se opće razdoblje obrade podataka.


Ako su podaci potrebni za

ostvarivanje pravnih zahtjeva ili

odbranu od bilo kakvih

građanskopravnih zahtjeva, razdoblje obrade podataka je vrijeme potrebno za vođenje postupka (postupaka) sve do pravomoćnog okončanja takvog postupka ili ostvarivanja legitimnog interesa drugim putem (npr. sklapanjem izvansudske nagodbe).

Odvjetnički partner, koji za voditelje obrade

upravljaju i

uspješno

ostvaruju zahtjeve i/ili brane interese voditelja obrade.




Naziv, sjedište, broj telefona, web stranica (na kojoj je dostupna informacija o obradi) i e-mail adresa Zajedničkih voditelja obrade podataka


HOLDINA d.o.o. Sarajevo Azize Šaćirbegović 4b 71000 Sarajevo

Bosna i Hercegovina

Kontakt centar: 080 02 03 13, www.holdina.ba

e-mail adresa: info@inaepclub.ba

i


ENERGOPETROL d.d. Sarajevo

Azize Šaćirbegović 4b 71000 Sarajevo Bosna i Hercegovina

Kontakt centar: 080 02 03 13 www.energopetrol.ba

e-mail adresa: info@inaepclub.ba


U skladu sa Zakonom o zaštiti ličnih podataka Bosne i Hercegovine i članom 26. Opće uredbe o zaštiti podataka (GDPR), budući da HOLDINA i ENERGOPETROL zajednički određuju svrhe i načine obrade ličnih podataka u okviru INA/EP CLUB programa lojalnosti, smatraju se „zajedničkim voditeljima obrade“. U praksi, to znači da oni na transparentan način, međusobnim dogovorom određuju svoje odgovornosti za poštivanje obveza iz Zakona o zaštiti ličnih podataka Bosne i Hercegovine i GDPR-a,posebno zbog ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja nužnih informacija o zaštiti ličnih podataka. Dogovor mora propisno odražavati pojedinačne uloge i odnose zajedničkih voditelja obrade. Suština dogovora je dostupna ispitanicima na zahtjev. Također, ispitanici zahtjeve za ostvarivanjem svojih prava iz Zakona o zaštiti ličnih podataka Bosne i Hercegovine i GDPR-a mogu uputiti HOLDINI i/ili ENERGOPETROLU. HOLDINA i ENERGOPETROL imaju pristup zajedničkoj bazi podataka INA/EP CLUB programa lojalnosti u kojoj se pohranjuju podaci o članovima.


Kontakt osoba(e) Voditelja obrade podataka HOLDINA d.o.o. Sarajevo

Azize Šaćirbegović 4b 71000 Sarajevo Bosna i Hercegovina

Kontakt centar: 080 02 03 13 www.holdina.ba

e-mail adresa: info@inaepclub.ba


Ime i prezime te kontakt podaci Službenika za zaštitu podataka imenovanog od strane Voditelja obrade podataka:

HOLDINA d.o.o. Sarajevo Službenik za zaštitu podataka: Šahinpašić Selma, e-mail adresa: Selma.Sahinpasic@energopetrol.ba


Osobe imenovane od strane voditelja obrade podataka koje su ovlaštene pristupiti podacima:



Naziv, sjedište, broj telefona, mrežna stranica i adresa e-pošte izvršitelja obrade podataka i ostalih primatelja podataka od izvršitelja obrade podataka


Voditelji obrade podataka:

Prilikom preuzimanja aplikacije INA/EP CLUB program lojalnosti, društva Apple Inc. (App Store) i Google Inc. (Google Play) pojedinačni su voditelji obrade podataka. HOLDINA i ENERGOPETROL imat će pristup samo članskom imenu Člana (adresi elektroničke pošte) koje relevantni davatelj usluga koristi za prijavu (pohranjeno). Voditelji obrade koriste usluge svojih odvjetničkih partnera za upravljanje i uspješno ostvarivanje svojih zahtjeva te izvršavaju prijenos potrebnih ličnih podataka takvim odvjetnicima u tu svrhu u skladu Zakonom o zaštiti ličnih podataka ali i s člankom 6. stavkom 1. tačkom (f) GDPR-a (na temelju legitimnog interesa voditelja obrade). Takvi odvjetnici djeluju kao neovisni voditelji obrade u skladu s odredbama njihovih informacija o obradi podataka. U slučaju angažiranja odvjetničkih partnera za potrebe njihovog posebnog predmeta, a na zahtjev ispitanika, voditelji obrade će pružiti informacije o odvjetničkom partneru koji je uključen u određenu obradu podataka, kao i kontakt podatke i aktivnosti tog odvjetnika i podatke koji se u vezi s tim obrađuju.


Izvršitelji obrade podataka:


IPC, Mihovljanska ul. 72, 40000, Čakovec, Hrvatska, broj telefona:+385 40 395 568; web stranica: https://www.ipc.hr


Plavi tim d.o.o., Ulica grada Vukovara 18, 10000 Zagreb; broj telefona: +385 (1) 459 2328; mrežna stranica: https://plavitim.hr; e-mail adresa: plavitim@plavitim.hr


TOP RAČUNOVODSTVO SERVISI d.o.o., Savska cesta 41, 10000 Zagreb, Hrvatska; info-trs@trs.ina.hr


BH Telecom d.d. Sarajevo, Zmaja od Bosne 88, Sarajevo, broj telefona:+38733 653 093 mrežna stranica: https://www.bhtelecom.ba


Kada HOLDINA i ENERGOPETROL angažiraju pružatelje usluga koji djeluju kao izvršitelji obrade podataka, oni osiguravaju da su na snazi odgovarajući sporazumi o obradi podataka u skladu s člankom 28. GDPR-a. Cilj tih sporazuma je osigurati, između ostalog, da obradu ličnih podataka provodi izvršitelj obrade podataka u ime društava HOLDINA i ENERGOPETROL, te samo na temelju uputa dobivenih od društava HOLDINA i ENERGOPETROL.


Obrada posebnih kategorija ličnih podataka u svrhu koja je utvrđena u ovoj Informaciji

U okviru vašeg sudjelovanja u INA/EP CLUB programu lojalnosti ne dolazi do obrade posebnih kategorija podataka.


Prijenos podataka

U okviru sudjelovanja u INA/EP CLUB programa lojalnosti dolazi do prijenosa podataka u EU.

Postojanje automatiziranog donošenja odluka, što uključuje izradu profila, barem u tim slučajevima, smislene informacije o logici o kojoj je se radi, kao i važnost te predviđene posljedice takve obrade za ispitanika:


Nećemo donositi nikakve odluke na temelju automatizirane obrade podataka koji se odnose na vas (članak 22. stavak 1. GDPR-a). Međutim, na temelju vaše saglasnosti izradit ćemo vaš profil. Vaše polje interesa (profil) kao potencijalnog primatelja prilagođenih, personaliziranih marketinških poruka temeljit će se na sljedećim glavnim aspektima: podacima o upotrebi vaše kartice (povijest kupovine: usluge ili proizvodi koje ste prethodno koristili ili kupili od voditelja obrade podataka – npr. vrsta proizvoda i usluge, učestalost i vrijednost kupnje) te vašoj dobi i spolu. Na primjer: procjenjujemo kakva bezalkoholna pića žene starosti između 35 i 40 godina kupuju prilikom punjenja rezervoara svojeg automobila gorivom, te sljedeći put ženama te dobne skupine koje sudjeluju u INA/EP CLUB programom lojalnosti nudimo slična bezalkoholna pića.


Drugi primjer: kako bismo procijenili učinkovitost marketinških poruka, evidentiramo koje ste marketinške poruke primili te koje proizvode i usluge ste kupili, kao i kada te koliko često ste to radili i koliko ste ih platili. Lokacija kupovine i/ili lokacija člana još je jedan kriterij za segmentaciju. Na temelju tih faktora određujemo vrste budućih prilagođenih poruka koje ćemo vam možda slati. Na primjer, utvrđujemo – na temelju kupovnih navika – u koje vrijeme ili s kojom učestalošću bi vam vrijedilo slati prilagođene marketinške poruke ili koje bi vam vrste proizvoda i usluga vrijedilo ponuditi. Prilagođena ponuda je, na primjer, da vam na vaš rođendan možemo poslati kupon za vašu omiljenu vrstu kave. Vašu omiljenu vrstu kave utvrđujemo na temelju prethodnih kupovina. Ako vidimo da uz kafu kupujete i pekarski proizvod, u poslanoj marketinškoj poruci vam možemo ponuditi i takav proizvod.]


Mjere sigurnosti podataka:


Voditelji obrade podataka vaše lične podatke pohranjuju u zaštićenom elektroničkom repozitoriju podataka kako bi osigurali tajnost, cjelovitost i dostupnost vaših ličnih podataka u skladu s informatičkim sigurnosnim normama i standardima. U okviru zaštite proporcionalne riziku i mjerenja povjerljivosti ličnih i poslovnih podataka, voditelji obrade podataka osiguravaju zaštitu podataka na razini mreže, infrastrukture i aplikacije (vatrozidovima, antivirusnim programima, mehanizmima enkripcije za pohranu i komunikaciju, filtriranjem sadržaja te drugim tehničkim i procesnim rješenjima). Povrede ličnih podataka stalno se prate te se njima stalno upravlja. U slučaju enkripcije, protok šifriranih podataka nije moguće povratiti bez poznavanja koda za dekripciju zbog asimetričnog kodiranja, uz filtriranje sadržaja te druga tehnička i procesna rješenja). Incidenti povezani sa sigurnošću podataka stalno se prate.


Mjere sigurnosti podataka:

Sistem upravljanja

informacijskom sigurnošću

Radi osiguranja povjerljivosti, cjelovitosti i dostupnosti organizacijskih podataka primjenom politika, procesa, opisa procesa,

organizacijskih struktura, softverskih i hardverskih funkcija.

Fizički pristup

Radi osiguranja zaštite fizičke imovine koja sadrži podatke o društvu.

Logički pristup

Radi osiguranja da samo odobreni i ovlašteni korisnici imaju pristup podacima koje koriste društva.

Pristup podacima

Radi osiguranja da samo ovlašteni korisnici sustava imaju pristup podacima društva.

Prijenos/pohrana/brisanje

podataka

Radi osiguranja da korporativni podaci društva ne prenosi, čita, mijenja ili briše neovlaštena osoba dok se prenose ili pohranjuju. Osim

toga, podaci društva moraju se izbrisati čim svrha obrade prestane postojati.

Povjerljivost i cjelovitost

Radi osiguranja da se korporativni podaci održavaju povjerljivima i ažuriranima, a time se postiže i očuvanje cjelovitosti.

Dostupnost

Radi osiguranja da su podaci društva zaštićeni od slučajnog uništenja ili gubitka i, u slučaju takvog događaja, da je pristup podacima

društva i njihov povrat pravovremen.

Odvajanje podataka

Radi osiguranja da se podaci društva obrađuju odvojeno od podataka drugih klijenata.

Upravljanje incidentima

U slučaju bilo kakve povrede korporativnih podataka, učinak povrede će se svesti na najmanju moguću mjeru, te će vlasnici podataka

društva odmah biti obaviješteni.

Revizija

Radi osiguranja da izvršitelj obrade periodično ispituje, pregledava i ocjenjuje učinkovitost gore navedenih tehničkih i organizacijskih

mjera.


Vaša prava u vezi s obradom podataka:


U svakom trenutku možete zatražiti informacije o vašim ličnim podacima koji se obrađuju, možete zatražiti ispravak i brisanje vaših ličnih podataka ili ograničenje njihove obrade. Nadalje, možete uložiti prigovor na obradu podataka na temelju legitimnog interesa i izravnog marketinga (slanje izravnih marketinških poruka), te imate pravo na prenosivost podataka. U nastavku navodimo sažetak najvažnijih odredbi. Možete ostvarivati prava i tražiti pravne lijekove kontaktiranjem bilo kojeg od zajedničkih voditelja obrade podataka (u daljnjem tekstu zasebno „Društvo”).


Pravo na informacije:

Ako Društvo obrađuje vaše lične podatke, mora vam pružiti informacije – čak i bez vašeg posebnog zahtjeva za njima – o glavnim obilježjima obrade podataka, uključujući svrhu, pravnu osnovu i razdoblje obrade, identitet i kontakt podatke Društva i njegovog predstavnika, podatke za kontakt službenika za zaštitu podataka, primatelja ličnih podataka (u slučaju prijenosa podataka u treće zemlje, navodeći također i odgovarajuća i prikladne garancije), legitimne interese Društva i/ili trećih strana u slučaju obrade podataka na temelju legitimnog interesa, nadalje vaša prava zaštite podataka i vaše mogućnosti traženja pravnog lijeka (uključujući pravo podnošenja prigovora nadzornom tijelu), izvor ličnih podataka – ako vi niste izvor – kao i kategorije ličnih podataka, u slučaju da još niste imali sve ove informacije. U slučaju automatiziranog donošenja odluka i izrade profila, Društvo vas mora na razumljiv način obavijestiti o logici, kao i važnosti te predviđenim posljedicama takve obrade za vas. Gore navedene informacije Društvo pruža stavljajući vam na raspolaganje ovu obavijest o privatnosti podataka.


Pravo na pristup:

Imate pravo od Društva dobiti potvrdu o tome obrađuju li se lični podaci koji se odnose na vas ili ne i, kad je to slučaj, pristup ličnim podacima i određenim informacijama koje se odnose na obradu podataka, kao što su svrha obrade podataka, kategorije ličnih podataka koji se obrađuju, primatelji ličnih podataka, (predviđeno) razdoblje obrade podataka, prava ispitanika na zaštitu podataka i mogućnosti traženja pravnog lijeka (uključujući pravo podnošenja prigovora nadzornom tijelu), kao i informacije o izvoru podataka kada oni nisu prikupljeni od vas.


Na vaš zahtjev Društvo će dostaviti kopiju vaših ličnih podataka koji se obrađuju. Za sve daljnje kopije koje zatražite Društvo može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ste zahtjev podnijeli elektroničkim putem, i ako niste zatražili drugačije, informacije se pružaju u uobičajenom elektroničkom obliku. Pravo na dobivanje kopije ne smije negativno utjecati na prava i slobode drugih.

Nakon prijema vašeg zahtjeva, Društvo će vam pružiti informacije o mogućnosti, postupku, potencijalnim troškovima i drugim pojedinostima o pružanju kopije. U slučaju automatiziranog donošenja odluka i izrade profila, ispitanik ima pristup sljedećim informacijama: logika te važnost i predviđene posljedice takve obrade za vas.


Pravo na ispravak:

Imate pravo bez nepotrebne odgode od Društva zahtijevati ispravku netačnih ličnih podataka koji se odnose na vas. Uzimajući u obzir svrhe obrade, imate pravo dopuniti

nepotpune lične podatke, među ostalim i davanjem dodatne izjave.

Pravo na ispravak:

Imate pravo bez nepotrebne odgode od Društva zahtijevati ispravku netačnih ličnih podataka koji se odnose na vas. Uzimajući u obzir svrhe obrade, imate pravo dopuniti

nepotpune lične podatke, među ostalim i davanjem dodatne izjave.


Pravo na brisanje:

Imate pravo od Društva ishoditi brisanje ličnih podataka koji se odnose na vas bez nepotrebne odgode, a Društvo ima obvezu obrisati lične podatke bez nepotrebne odgode ako postoje određeni temelji ili uvjeti. Među ostalim temeljima, Društvo je obvezno obrisati vaše lične podatke na vaš zahtjev, primjerice ako lični podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; ako povučete svoju suglasnost na kojoj se obrada temelji i ako ne postoji druga pravna osnova za obradu; ako su lični podaci nezakonito obrađeni; ako uložite prigovor na obradu te ne postoje jači legitimni razlozi za obradu; ako se lični podaci moraju brisati radi poštovanja pravne obveze iz prava Unije ili prava države kojem Društvo podliježe; ili ako su lični podaci prikupljeni u vezi s ponudom usluga informacijskog društva.


Ako se obrada podataka temelji na vašoj saglasnosti, posljedica povlačenja saglasnosti: ne šaljemo niti nudimo prilagođene, personalizirane marketinške (oglašivačke) poruke ili promotivne ponude, izuzev slanja e-mail poruke o osvojenom kuponu ili dodatnim bodovima koji su ostvareni sudjelovanjem u nekoj od INA/EP CLUB programom lojalnosti kampanja ili izazova, koja se tretira kao transakcijska poruka temeljem pravne osnove izvršavanja ugovornih obveza.


Obavještavamo vas da povlačenje vaše saglasnosti ne utječe na zakonitost obrade podataka koja je izvršena na temelju vaše saglasnosti prije povlačenja.


Pravo na ograničenje obrade:


Imate pravo od Društva ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg:


(a)

osporavate točnost ličnih podataka, na razdoblje kojim se Društvu omogućuje provjera točnosti ličnih podataka;


(b)

obrada je nezakonita i protivite se brisanju ličnih podataka te umjesto toga tražite ograničenje njihove uporabe;


(c)

Društvo više ne treba lične podatke za potrebe obrade, ali ih vi trebate radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;


(d)

uložili ste prigovor na obradu, te je u tijeku postupak potvrđivanja pitanja nadilaze li legitimni razlozi Društva vaše legitimne razloge.


Ako je obrada ograničena u skladu s gore navedenim razlozima, takvi lični podaci smiju se obrađivati samo uz vašu suglasnost, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili odbranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa.


Društvo će vas obavijestiti prije nego što ograničenje obrade bude ukinuto.


Pravo na prenosivost podataka:

Imate pravo zaprimiti lične podatke koji se odnose na vas, a koje ste pružili Društvu u strukturiranom, uobičajeno upotrebljavanom i mašinski čitljivom formatu te imate

pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Društva kojem su lični podaci pruženi, ako se:


(a)

obrada temelji na vašoj suglasnosti ili na izvršenju ugovora (u kojem ste strana); i


(b)

obrada provodi automatiziranim putem.


Prilikom ostvarivanja svojih prava na prenosivost podataka, imate pravo na direktni prijenos ličnih podataka od jednog voditelja obrade drugome ako je to tehnički izvedivo. Pravo na prenosivost podataka ne dovodi u pitanje odredbe koje uređuju pravo na brisanje; nadalje, ono ne smije negativno utjecati na prava i slobode drugih.


Pravo na prigovor:

Imate pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu ličnih podataka koji se odnose na vas, a koja se temelji na legitimnim interesima Društva, uključujući izradu profila koja se temelji na tim odredbama. Društvo više ne smije obrađivati lične podatke osim ako ne dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze vaše interese, prava i slobode, ili u svrhu postavljanja, ostvarivanja ili obrane pravnih zahtjeva.


Ako se lični podaci obrađuju za potrebe izravnog marketinga, u svakom trenutku imate pravo uložiti prigovor na obradu ličnih podataka koji se odnose na vas za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom. Ako se protivite obradi za potrebe izravnog marketinga, lični podaci više se ne smiju obrađivati u takve svrhe.


Okvir ostvarivanja prava:

Društvo pruža informacije o poduzetim radnjama na zahtjev na temelju vaših gore navedenih prava bez nepotrebne odgode i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produžit za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Društvo vas obavješćuje o svakom takvom produženju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgode. Ako zahtjev podnesete elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako zatražite drugačije.

Ako Društvo ne poduzme radnju u vezi s vašim zahtjevom, ono vas bez odgode i najkasnije jedan mjesec od primitka zahtjeva izvještava o razlozima zbog kojih nije poduzelo radnji te o mogućnosti podnošenja pritužbe nadležnom nadzornom tijelu za zaštitu podataka (u Bosni i Hercegovini: Agencija za zaštitu ličnih podataka; skraćeno kao „AZIP”) i traženja pravnog lijeka.

Kontakt podatci AZIP-a su dostupni na web stranici: www.azlp.ba


Društvo informacije pruža u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatražite, informacije se mogu pružiti usmenim putem, pod uvjetom da se vaš identitet utvrdi drugim sredstvima.


Ne dovodeći u pitanje druge upravne ili sudske pravne lijekove, državljani EU imaju pravo podnijeti pritužbu nadzornom tijelu Europske unije, ako smatraju da obrada ličnih

podataka koja se odnosi na njih krši odredbe GDPR-a. O tome kako kontaktirati nadzorna tijela u Europskoj uniji možete pročitati ovdje: