Verzija br. 1, primjenjiva od 24.05.2023. godine
INA/EP CLUB program lojalnosti je program nagrađivanja Članova INA/EP CLUB PROGRAM LOJALNOSTI u kojem članovi mogu sakupljati bodove lojalnosti na temelju kojih imaju pravo na različite pogodnosti. Kada se Članovi registriraju u INA/EP CLUB program lojalnosti i koriste INA/EP CLUB programa lojalnosti, dolazi do obrade njihovih ličnih podataka, koja je nužna za ostvarenje pogodnosti putem INA/EP CLUB programa lojalnosti odnosno efektivno korištenje programa i svih benefita koje program donosi našim članovima. U ovoj Informaciji o obradi ličnih podataka pojašnjeni su razlozi obrade vaših ličnih podataka u okviru INA/EP CLUB programa lojalnosti, način na koji prikupljamo, obrađujemo i osiguravamo zaštitu svih pruženih ličnih podataka, način na koji se informacije upotrebljavaju i koja su vaša prava u vezi vaših ličnih podataka. Također su navedeni kontaktni podaci odgovornih voditelja obrade kojima se možete obratiti za ostvarivanje svojih prava, te službenika za zaštitu podataka.
HOLDINA d.o.o. Sarajevo (dalje u tekstu: „HOLDINA“) i ENERGOPETROL d.d. Sarajevo (dalje u tekstu: „ENERGOPETROL“) djeluju kao zajednički voditelji obrade u odnosu na obradu ličnih podataka članova INA/EP CLUB programa lojalnosti, budući da zajednički određuju svrhu i sredstva obrade podataka te su solidarno odgovorni za obradu podataka. U sklopu zajedničkog vođenja obrade podataka, HOLDINA odlučuje o strukturi INA/EP CLUB program lojalnosti, dozvoljenom obimu i upotrebi ličnih podataka koji se obrađuju tokom trajanja INA/EP CLUB programa lojalnosti (npr. sistem statusa). Zajednički voditelji obrade podataka koriste ovu zajedničku Informaciju o obradi ličnih podataka, koja uključuje njihovu ulogu i odnos s relevantnim članovima.
Pojmovi definirani u Pravilima INA/EP CLUB programu lojalnosti imaju isto značenje kao i u ovoj Informaciji o obradi ličnih podataka.
Omogućivanje sudjelovanja u INA/EP CLUB programu lojalnosti, izrada kartice, kao i omogućivanje funkcioniranja INA/EP CLUB programa lojalnosti (uključujući prestanak istog), npr. kontakti s članovima.
Opis i svrha obrade
Na primjer: članovi tokom postupka registracije mogu primati e-mail poruke o stanju njihove registracije i članstva, informacije o tome šta je potrebno za dovršetak registracije, e-mail poruke za potvrdu i podsjetnike vezane za potvrdu ili informacije o INA/EP CLUB programu lojalnosti – npr. kako funkcioniraju različiti statusi, kako se bodovi prikupljaju i koriste za nagrade, obavijesti o unaprjeđenju statusa, obavijesti o prelasku u niži status, obavijesti o obnovi statusa; također, slična se obrada provodi u slučaju zahtjeva člana za novom karticom INA/EP CLUB programa lojalnosti (npr. u slučaju krađe ili uništenja).
Članovi također dobivaju personalizirane mjesečne informacije o statusu i pogodnostima, stanju bodova, informacije o tome što je potrebno za prelazak u drugi status. Ove personalizirane informacije odnose se samo na praktične informacije (npr. registracija, upotreba kartice i slične radnje) povezane s korištenjem kartice INA/EP CLUB programa lojalnosti (informacije o obradi podataka u marketinške svrhe se nalaze u nastavku).
U slučaju da se uposlenici na maloprodajnim mjestima odluče registrirati u INA/EP CLUB program lojalnosti, omogućava im se sudjelovanje u Programu.
Pravna osnova obrade
Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine
Čl. 6 (1) (b) GDPR-a
– obrada je nužna za izvršavanje Pravila INA/EP CLUB programa lojalnosti, dostupna na linku: www.inaepclub.ba , koje je član prihvatio, ili kako bi se poduzele radnje na zahtjev člana prije njegove registracije u INA/EP CLUB program lojalnosti.
Obim obrađenih podataka i njihov izvor
Minimalni zahtjevi za registraciju: ime (ime i prezime), e-mail adresa, broj telefona, mjesto stanovanja;
Neobavezni podaci za registraciju: spol i datum rođenja (za potrebe jednostavnije identifikacije u slučaju zahtjeva podnesenih članskoj službi)
Podaci povezani s karticom nakon registracije
informacije o prihvaćanju INA/EP CLUB programa lojalnosti (opći uvjeti INA/EP CLUB programa lojalnosti), ove Informacije o obradi ličnih podataka te izjave da je maloljetni član stariji od 16 godina, broj kartice INA/EP CLUB programa lojalnosti, podaci o upotrebi INA/EP CLUB programa lojalnosti (npr. podatci o transakcijama), lozinka u slučaju mrežne prijave (pohranjuje se samo šifrirana verzija lozinke), datum registracije, podatci o suglasnostima vezanim uz privatnost (npr. za personalizirani marketing), stanje aktivnosti člana (npr. aktivnost, neaktivnost), ostala priopćenja od člana (npr. pritužbe, upiti), kampanje dodijeljene članu na temelju njegovog/njezinog statusa, u svrhu evidencije bodova i sudjelovanja u igrama i/ili izazovima programa), korištenje samonaplatnih uređaja za kavu na HOLDINA i ENERGOPETROL maloprodajnim mjestima.
Izvor podataka: dao ih je član/dobiveni su putem upotrebe Kartice lojalnosti.
Sudjelovanje u Programu pogodnosti za prodavače na maloprodajnim mjestima: obrađuju se lični podaci prodavača na maloprodajnim mjestima u istom opsegu kao i svih drugih korisnika.
Izvor podataka: korisnik koji je prodavač na maloprodajnom mjestu.
Razdoblje obrade podataka
Tokom razdoblja u kojem član sudjeluje u INA/EP CLUB programu lojalnosti ili do prestanka INA/EP CLUB programa lojalnosti, pod sljedećim uslovima:
A. U slučaju deaktivacije članskog računa, podaci članskog računa brišu se u roku 30 dana od dana izvršenja deaktivacije. Deaktivacija može biti:
- na zahtjev člana – ako član zatraži prekid sudjelovanja u INA/EP CLUB programu lojalnosti putem deaktivacije članskog računa. U tom slučaju se deaktivacija izvršava u roku od 72 sati od dana zaprimanja zahtjeva i potvrde identiteta člana. Podaci se brišu u roku 30 dana od izvršenja deaktivacije ako član nije zatražio reaktivaciju računa.
- na zahtjev HOLDINA-e zbog nedovršene registracije;
- na zahtjev HOLDINA-e zbog neaktivnosti kada će HOLDINA deaktivirati članski račun i Karticu lojalnosti onih članova koji nisu koristili svoje kartice lojalnosti 1 godinu prije datuma provjere. HOLDINA će o deaktivaciji članu dostaviti obavijest 30 dana prije datuma deaktivacije. Podaci se brišu u roku 30 dana od izvršenja deaktivacije ako član nije zatražio reaktivaciju računa.
- na zahtjev HOLDINA-e zbog kršenja pravila programa po utvrđenom kršenju i uz obavijest članu 30 dana prije dana deaktivacije, osim u slučajevima teškog kršenja, kada slijedi deaktivacija s trenutnim učinkom.
B. Ako član zatraži prekid sudjelovanja u INA/EP CLUB programu lojalnosti putem zahtjeva za brisanje ličnih podataka evidentiranih u INA/EP CLUB programu lojalnosti, isto se vrši bez odgađanja, a najkasnije u roku od 48 sati od dana zaprimanja zahtjeva.
Neovisno o gore navedenom, HOLDINA će čuvati lične podatke članova 1 godinu za slučaj mogućih zahtjeva podnesenih prema HOLDINA-i (npr. potraživanje štete, zbog stečenih, a neiskorištenih pogodnosti/nagrada), ako:
- HOLDINA prekine sudjelovanje člana INA/EP CLUB programu lojalnosti zbog kršenja Pravila programa ili do prestanka I INA/EP CLUB programa lojalnosti (razdoblje pohrane podataka počinje na dan prestanka samog programa ili sudjelovanja članova u programu);
- HOLDINA deaktivira INA/EP CLUB programa lojalnosti (razdoblje čuvanja podataka od jedne godine počinje teći istekom 30 dana od deaktivacija).
U odnosu na informacije o transakcijama, u skladu sa Zakonom o računovodstvu i reviziji, računovodstvene dokumente (poput faktura) koji sadrže datum i vrijeme transakcije i uplaćeni iznos čuvat će se zakonom definiranom roku. Mogu se primijeniti i druga razdoblja pohrane podataka, kako je opisano u relevantnim svrhama obrade podataka u nastavku, ako je podatke potrebno čuvati u druge dolje navedene svrhe.
Izvršitelj obrade podataka i njegova aktivnost
IPC
Mihovljanska ul. 72, 40000, Čakovec, Hrvatska
Aktivnosti: definiranje i izvršavanje procesnih koraka koji se odnose na registraciju u INA/EP CLUB programu lojalnosti, komunikacija i rješavanje problema, na primjer, rješavanje upita i pritužbi korisnika te svi podaci koji dolaze iz centra za korisničku podršku koji se odnose na INA/EP CLUB programu lojalnosti.
Upravljanje sistemom statusa i pohranjivanje bodova te stanja istih.
Poslužitelji servisa IPC nalazi se u Republici Hrvatskoj, a poslužitelji za sigurnosno kopiranje se nalaze u Republici Hrvatskoj.
PLAVI TIM d.o.o. (sjedište: Ulica grada Vukovara 18, 10000 Zagreb, Hrvatska) – pružanje informatičkih usluga i usluga vezanih uz poslužitelje koje su usko povezane s obradom podataka.
TOP RAČUNOVODSTVO SERVISI d.o.o., (sjedište: Savska cesta 41, 10000 Zagreb, Hrvatska; info-trs@trs.ina.hr)
Aktivnosti: pružanje podrške u pogledu knjigovodstva i pitanja vezanih uz poreze
Mjerenje i poboljšanje izvedbe i učinkovitosti prodaje proizvoda i marketinških kampanja.
Opis i svrha obrade
U ovu svrhu voditelji obrade podataka analiziraju prodajne i druge podatke do nivoa člana (prihodi servisnih stanica, prodani proizvodi, učestalost kupovine člana, vrsta proizvoda koju član kupuje, sklonost određenim proizvodima/uslugama, i sl.) kako bi na temelju podataka mogli donositi poslovne odluke.
Pravna osnova obrade
Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine
Članak 6. (1) (f) GDPR-a
(obrada je nužna za legitimne interese voditelja obrade).
Legitimni interes je mjerenje i poboljšanje učinka i učinkovitosti prodaje proizvoda i marketinških kampanja.
U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka koja se temelji na legitimnom interesu.
Obim obrađenih podataka i njihov izvor
Broj članskog računa, podaci profila (ako su navedeni), datum rođenja (ako su navedeni), vrsta registracije, rezultati ankete, informacije o pristanku člana (npr. za personalizirani marketing), status člana (npr. aktivan, neaktivan), kampanje dodijeljene članu temeljem njegovog statusa (Regular, Plus, Premium ili Ultra), broja kartice lojalnosti i podaci o korištenju iste (npr. informacije o transakcijama).
Izvor podataka: dao ih je član/dobiveni su putem upotrebe kartice INA/EP CLUB programa lojalnosti.
Razdoblje obrade podataka
Razdoblje obrade podataka je razdoblje dok je član sudionik INA/EP CLUB programa lojalnosti.
Slanje općih marketinških poruka (reklama), promotivnih ponuda te izazova putem e-maila, SMS-a, Vibera i aplikacije ako ju preuzmete. Slanje zahtjeva za sudjelovanje u istraživanju tržišta te istraživanja zadovoljstva člana putem e-maila, telefonskih upita, upita putem SMS-a i Vibera te putem aplikacije ako ju preuzmete.
Pravna osnova obrade
Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine
Članak 6. stavak 1. tačka (f) GDPR-a
– obrada je nužna za potrebe legitimnih interesa voditelja obrade: u svrhu upoznavanja člana s proizvodima i uslugama voditelja obrade podataka, u svrhu promicanja aktivnosti voditelja obrade podataka te u svrhu razumijevanja mišljenja i očekivanja člana.
U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka, koja se temelji na legitimnom interesu.
Obim obrađenih podataka i njihov izvor
Ime i prezime, adresa e-mail i broj telefona člana (ako su navedeni u fazi registracije) i člansko ime u aplikaciji (adresa e-mail), sadržaj promotivnih poruka.
Za istraživanje tržišta ili ankete o zadovoljstvu člana: podaci o upotrebi kartice lojalnosti, podaci zabilježeni ili generirani tijekom istraživanja tržišta.
Izvor podataka: član.
Razdoblje obrade podataka
Do prigovora određenog ispitanika, a u suprotnom sve dok član sudjeluje u INA/EP CLUB programu lojalnosti.
Izvršitelj obrade podataka i njegova aktivnost
BH Telecom d.d. Sarajevo, Zmaja od Bosne 88, Sarajevo
Aktivnosti: provedba slanja marketinških SMS i e-mail poruka.
Slanje prilagođenih, personaliziranih marketinških poruka (reklama), promotivnih ponuda, izazova i promocija ovisno o vašim kupovnim navikama (posebni oblici ponuda baziranih na profiliranju člana su automatizirane ponude za zadržavanje članova, povećanje korpe, učestalosti kupovina, itd.), vrsti računa ili aktivnosti u programu putem e-maila, SMS-a, Vibera i aplikacije ako ju preuzmete. Određene marketinške poruke šalju se na temelju profiliranja člana.
Opis i svrha obrade
Bez saglasnosti članovima ne šaljemo prilagođene marketinške poruke (reklame), promotivne ponude, niti izrađujemo profile članova bez saglasnosti.
Pravna osnova obrade
Čl. 5(1) Zakon o zaštiti ličnih podataka Bosne i Hercegovine („Saglasnost nosioca podataka“) i
Članak 6. stavak 1. točka (a) GDPR-a (dobrovoljna saglasnost ispitanika) – primjenjiva je u svim slučajevima marketinga osim izravnog marketinga putem e-maila, što je opisano u nastavku.
Profiliranje se također temelji na izričitoj suglasnosti članova (Čl. 5(1) Zakon o zaštiti ličnih podataka Bosne i Hercegovine i članak 22. stavak 2. točka c GDPR-a).
Obim obrađenih podataka i njihov izvor
Ime i prezime, adresa, e-mail, broj telefona i člansko ime člana u aplikaciji (adresa e-pošte), datum rođenja, spol, grad, poštanski broj, broj kartice lojalnosti, podaci o upotrebi kartice lojalnosti, obim interesa koji se tiču usluga/proizvoda koji se nude, odgovori na dodatna pitanja (npr. podaci prikupljeni putem anketa).
Izvor podataka: daje ih ispitanik (član)/podaci dobiveni profiliranjem člana (profile izrađuju voditelji obrade).
Razdoblje obrade podataka
Sve dok član ne uskrati saglasnost, a inače sve dok relevantni član sudjeluje u INA/EP CLUB programu lojalnosti.
Izvršitelj obrade podataka i njegova aktivnost
BH Telecom d.d. Sarajevo, Zmaja od Bosne 88, Sarajevo
Aktivnosti: provedba slanja marketinških SMS i e-mail poruka
IPC
Mihovljanska ul. 72, 40000, Čakovec, Hrvatska
Aktivnosti: kreiranje i održavanje automatiziranih procesa za (1) izradu personaliziranih ponuda, (2) proces strojnog učenja i (3) izradu evaluacijskih izvještaja.
Sprječavanje, otkrivanje i istraga prijevara i zloupotreba povezanih s INA/EP CLUB programom lojalnosti.
Opis i svrha obrade
Na primjer, voditelji obrade podataka će čuvati lične podatke člana ako je sudjelovanje člana u INA/EP CLUB programu lojalnosti prijevremeno prekinuto s trenutnim učinkom zbog kršenja ugovornog odnosa, zloupotrebe ili drugog nezakonitog ponašanja.
Voditelj obrade podataka analizira posebne izvještaje kako bi detektirao potencijalne prijevare (npr. na temelju broja transakcija po danu, broja posjećenih maloprodajnih mjesta unutar jednog dana za jednog člana). Rezultat ovih izvještaja može biti temelj daljnje istrage.
U svrhu sprječavanja i istrage aktivnosti prijevare i zloupotrebe primjenjuje se i Etički kodeks INA Grupe koji je dostupan na:
https://www.ina.hr/wp-content/uploads/2020/01/eticki-kodeks-ina-grupe-web-2.pdf
Pravna osnova obrade
Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine
Članak 6. stavak 1. točka (f) GDPR-a
– obrada je nužna za potrebe legitimnih interesa voditelja obrade: u svrhu sprječavanja i otkrivanja nedoličnog ponašanja, što može ugroziti imovinu, poslovne tajne, prava intelektualnog vlasništva, poslovni ugled i zdravo radno okruženje (zasnovano na poštovanju, bez tjeskobe i odmazde) voditelja obrade podataka; u svrhu utvrđivanja odgovornosti određenih osoba.
U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka koja se temelji na legitimnom interesu.
Obim obrađenih podataka i njihov izvor
Ime i prezime, broj kartice lojalnosti, podaci o upotrebi kartice lojalnosti, podaci generirani tokom istrage. Voditelj obrade podataka obrađuje podatke potrebne za istragu, npr. broj kartice lojalnosti s ostalim „podacima iz fakture“ (npr. ime i prezime, količina artikla, cijena proizvoda (više proizvoda), mjesto i vrijeme kupnje itd.) u svrhu otkrivanja i istrage potencijalne zloupotrebe kartice lojalnosti, sve dok je to potrebno za istragu.
Izvor podataka: ispitanik ili bilo koje izvještaj o ispitaniku ili srodni postupak.
Razdoblje obrade podataka
1. Voditelji obrade će koristiti lične podatke određenog člana tijekom razdoblja od 1 godine u svrhu sprječavanja nove registracije tog člana ako je sudjelovanje člana u INA/EP CLUB programu lojalnosti prijevremeno prekinuto s trenutnim učinkom zbog kršenja ugovora, zloupotrebe ili drugog nezakonitog ponašanja.
2. Ako je uspostavljen etički postupak u koji nisu uključeni samo članovi ili treće strane, već i zaposlenici, svi podaci koji se odnose na Etički postupak i/ili Etičko izvještaj čuvaju se tokom radnog odnosa zaposlenika i petogodišnjeg razdoblja nakon toga, počevši od kraja godine u kojoj je radni odnos završio.
U odnosu na etički postupak u koji nisu uključeni zaposlenici, svi podaci koji se odnose na istragu, etički postupak i/ili etičko izvješće čuvaju se tokom petogodišnjeg vremenskog razdoblja, počevši od kraja godine u kojoj je određeni postupak okončan i obustavljen.
Bez obzira na gore navedeno, zapisnici Etičkog povjerenstva čuvaju se tijekom petogodišnjeg razdoblja, počevši od kraja godine u kojoj je zapisnik izrađen.
3. Ako se poduzimaju mjere na temelju istrage, uključujući radnje protiv osobe koja je podnijela prijavu zbog pokretanja pravnog postupka ili poduzimanje disciplinskih mjera i radnje osobe koja je podnijela prijavu protiv INA-e zbog pokretanja pravnog postupka, svi podaci koji se odnose na etički postupak mogu se obrađivati do pravomoćnog okončanja pokrenutog postupka.
Primatelj u prijenosu podataka
U slučajevima kada HOLDINA ili ENERGOPETROL pokrenu etičku istragu, članovi Etičkog povjerenstva imat će pristup podacima potrebnim za vođenje postupka.
Upravljanje pritužbama članova u vezi s INA/EP CLUB programom lojalnosti, koje članovi upute na e-mail adresu: info@inaepclub.ba ili putem telefona: 080 02 03 13
Pravna osnova obrade
Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine
Članak 6. stavak 1. točka (f) GDPR-a
– obrada je nužna za potrebe legitimnih interesa voditelja obrade: u svrhu obrade, odgovora i zadovoljavajućeg rješenja pritužbi članova.
U bilo kojem trenutku imate pravo na prigovor na obradu vaših ličnih podataka, koja se temelji na legitimnom interesu.
Obim obrađenih podataka i njihov izvor
Ime, prezime, e-mail adresa, broj članskog računa, broj kartice lojalnosti, sadržaj pritužbe, drugi podaci o korištenju INA/EP CLUB programa lojalnosti od strane članova, koji su relevantni za obradu i rješavanje pritužbe.
Izvor podataka: član i podaci iz INA/EP CLUB programa lojalnosti.
Razdoblje obrade podataka
Razdoblje obrade podataka je razdoblje dok je član sudionik INA/EP CLUB programa lojalnosti.
Odbrana pravnih zahtjeva voditelja obrade u vezi s INA/EP CLUB programom lojalnosti.
Opis i svrha obrade
To uključuje npr. odbranu u sporovima i postupcima pokrenutim pred nadležnim tijelima koje su pokrenuli članovi u vezi s INA/EP CLUB programom lojalnosti ili temeljem Zakona o zaštiti ličnih podataka BiH ili temeljem članka 17. stavka 3. točke e) GDPR-a.
Pravna osnova obrade
Čl. 6 tačka (a), (b) i (e) Zakon o zaštiti ličnih podataka Bosne i Hercegovine
Članak 6. stavak 1. točka (f) GDPR-a
– obrada je nužna za potrebe legitimnih interesa voditelja obrade: postavljanje i uspješna obrana pravnih zahtjeva u slučaju potencijalnog pravnog ili drugog službenog postupka (npr. sudski postupak koji je pokrenuo član, upravni ili drugi izvansudski postupak itd.).
Obim obrađenih podataka i njihov izvor
Ime i prezime, adresa e-pošte, broj telefona (samo ako se spor odnosi na zakonitost obrade istog), datum rođenja, broj kartice lojalnosti i podaci o upotrebi kartice lojalnosti ako su potrebni za ostvarivanje prava ili rješavanje pravnih sporova u kontekstu INA/EP CLUB programa lojalnosti.
Razdoblje obrade podataka
Za svaki postupak obrade podataka utvrđuje se opće razdoblje obrade podataka.
Ako su podaci potrebni za ostvarivanje pravnih zahtjeva ili odbranu od bilo kakvih građanskopravnih zahtjeva, razdoblje obrade podataka je vrijeme potrebno za vođenje postupka (postupaka) sve do pravomoćnog okončanja takvog postupka ili ostvarivanja legitimnog interesa drugim putem (npr. sklapanjem izvansudske nagodbe).
Primatelj u prijenosu podataka
Odvjetnički partner, koji za voditelje obrade upravljaju i uspješno ostvaruju zahtjeve i/ili brane interese voditelja obrade.
Naziv, sjedište, broj telefona, web stranica (na kojoj je dostupna informacija o obradi) i e-mail adresa Zajedničkih voditelja obrade podataka
HOLDINA d.o.o. Sarajevo
Azize Šaćirbegović 4b
71000 Sarajevo
Bosna i Hercegovina
Kontakt centar: 080 02 03 13,
www.holdina.ba
e-mail adresa: info@inaepclub.ba
ENERGOPETROL d.d. Sarajevo
Azize Šaćirbegović 4b
71000 Sarajevo
Bosna i Hercegovina
Kontakt centar: 080 02 03 13
www.energopetrol.ba
e-mail adresa: info@inaepclub.ba
U skladu sa Zakonom o zaštiti ličnih podataka Bosne i Hercegovine i članom 26. Opće uredbe o zaštiti podataka (GDPR), budući da HOLDINA i ENERGOPETROL zajednički određuju svrhe i načine obrade ličnih podataka u okviru INA/EP CLUB programa lojalnosti, smatraju se „zajedničkim voditeljima obrade“. U praksi, to znači da oni na transparentan način, međusobnim dogovorom određuju svoje odgovornosti za poštivanje obveza iz Zakona o zaštiti ličnih podataka Bosne i Hercegovine i GDPR-a,posebno zbog ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja nužnih informacija o zaštiti ličnih podataka. Dogovor mora propisno odražavati pojedinačne uloge i odnose zajedničkih voditelja obrade. Suština dogovora je dostupna ispitanicima na zahtjev. Također, ispitanici zahtjeve za ostvarivanjem svojih prava iz Zakona o zaštiti ličnih podataka Bosne i Hercegovine i GDPR-a mogu uputiti HOLDINA-u i/ili ENERGOPETROL. HOLDINA i ENERGOPETROL imaju pristup zajedničkoj bazi podataka INA/EP CLUB programa lojalnosti u kojoj se pohranjuju podaci o članovima.
Kontakt osoba(e) Voditelja obrade podataka
HOLDINA d.o.o. Sarajevo
Azize Šaćirbegović 4b
71000 Sarajevo
Bosna i Hercegovina
Kontakt centar: 080 02 03 13
www.holdina.ba
e-mail adresa: info@inaepclub.ba
Ime i prezime te kontakt podaci Službenika za zaštitu podataka imenovanog od strane Voditelja obrade podataka:
HOLDINA d.o.o. Sarajevo Službenik za zaštitu podataka: Šahinpašić Selma, e-mail adresa: Selma.Sahinpasic@energopetrol.ba
Osobe imenovane od strane voditelja obrade podataka koje su ovlaštene pristupiti podacima:
- HOLDINA d.o.o. Sarajevo – osoblje Upravljanja odnosima s kupcima društva
- Ako HOLDINA pokrene istragu određenog etičkog pitanja, članovi Etičkog povjerenstva i relevantni etički službenik imat će pristup informacijama potrebnim za provođenje etičkog postupka.
- Ako je potrebno obraditi pravne zahtjeve, zaposlenici Sektora Pravnih poslova HOLDINA i ENERGOPETROLA imat će pristup podacima potrebnim za obradu pravnih zahtjeva.
- Ako HOLDINA ili ENERGOPETROL pokrene druge postupke za sprječavanje, otkrivanje i istraga prijevara i zloupotrebe, zaposlenici Sigurnosti HOLDINE
Naziv, sjedište, broj telefona, mrežna stranica i adresa e-pošte izvršitelja obrade podataka i ostalih primatelja podataka od izvršitelja obrade podataka
Voditelji obrade podataka:
Prilikom preuzimanja aplikacije INA/EP CLUB program lojalnosti, društva Apple Inc. (App Store) i Google Inc. (Google Play) pojedinačni su voditelji obrade podataka.
Prilikom registracije putem Facebook ili Google računa, Facebook i Google Inc. pojedinačni su voditelji obrade podataka. HOLDINA i ENERGOPETROL imat će pristup samo korisničkom imenu Korisnika (adresi elektroničke pošte) koje relevantni davatelj usluga koristi za prijavu (pohranjeno).
Voditelji obrade koriste usluge svojih odvjetničkih partnera za upravljanje i uspješno ostvarivanje svojih zahtjeva te izvršavaju prijenos potrebnih ličnih podataka takvim odvjetnicima u tu svrhu u skladu Zakonom o zaštiti ličnih podataka ali i s člankom 6. stavkom 1. tačkom (f) GDPR-a (na temelju legitimnog interesa voditelja obrade). Takvi odvjetnici djeluju kao neovisni voditelji obrade u skladu s odredbama njihovih informacija o obradi podataka. U slučaju angažiranja odvjetničkih partnera za potrebe njihovog posebnog predmeta, a na zahtjev ispitanika, voditelji obrade će pružiti informacije o odvjetničkom partneru koji je uključen u određenu obradu podataka, kao i kontakt podatke i aktivnosti tog odvjetnika i podatke koji se u vezi s tim obrađuju.
Izvršitelji obrade podataka:
IPC, Mihovljanska ul. 72, 40000, Čakovec, Hrvatska, broj telefona:+385 40 395 568; web stranica: https://www.ipc.hr
Plavi tim d.o.o., Ulica grada Vukovara 18, 10000 Zagreb; broj telefona: +385 (1) 459 2328; mrežna stranica: https://plavitim.hr; e-mail adresa: plavitim@plavitim.hr
TOP RAČUNOVODSTVO SERVISI d.o.o., Savska cesta 41, 10000 Zagreb, Hrvatska; info-trs@trs.ina.hr
BH Telecom d.d. Sarajevo, Zmaja od Bosne 88, Sarajevo, broj telefona:+38733 653 093 mrežna stranica: https://www.bhtelecom.ba
Kada HOLDINA i ENERGOPETROL angažiraju pružatelje usluga koji djeluju kao izvršitelji obrade podataka, oni osiguravaju da su na snazi odgovarajući sporazumi o obradi podataka u skladu s člankom 28. GDPR-a. Cilj tih sporazuma je osigurati, između ostalog, da obradu ličnih podataka provodi izvršitelj obrade podataka u ime društava HOLDINA i ENERGOPETROL, te samo na temelju uputa dobivenih od društava HOLDINA i ENERGOPETROL.
Obrada posebnih kategorija ličnih podataka u svrhu koja je utvrđena u ovoj Informaciji
U okviru vašeg sudjelovanja u INA/EP CLUB programu lojalnosti ne dolazi do obrade posebnih kategorija podataka.
Prijenos podataka
U okviru sudjelovanja u INA/EP CLUB programa lojalnosti dolazi do prijenosa podataka u EU.
Postojanje automatiziranog donošenja odluka, što uključuje izradu profila, barem u tim slučajevima, smislene informacije o logici o kojoj je se radi, kao i važnost te predviđene posljedice takve obrade za ispitanika:
Nećemo donositi nikakve odluke na temelju automatizirane obrade podataka koji se odnose na vas (članak 22. stavak 1. GDPR-a). Međutim, na temelju vaše saglasnosti izradit ćemo vaš profil. Vaše polje interesa (profil) kao potencijalnog primatelja prilagođenih, personaliziranih marketinških poruka temeljit će se na sljedećim glavnim aspektima: podacima o upotrebi vaše kartice (povijest kupovine: usluge ili proizvodi koje ste prethodno koristili ili kupili od voditelja obrade podataka – npr. vrsta proizvoda i usluge, učestalost i vrijednost kupnje) te vašoj dobi i spolu. Na primjer: procjenjujemo kakva bezalkoholna pića žene starosti između 35 i 40 godina kupuju prilikom punjenja rezervoara svojeg automobila gorivom, te sljedeći put ženama te dobne skupine koje sudjeluju u INA/EP CLUB programom lojalnosti nudimo slična bezalkoholna pića.
Drugi primjer: kako bismo procijenili učinkovitost marketinških poruka, evidentiramo koje ste marketinške poruke primili te koje proizvode i usluge ste kupili, kao i kada te koliko često ste to radili i koliko ste ih platili. Lokacija kupovine i/ili lokacija člana još je jedan kriterij za segmentaciju. Na temelju tih faktora određujemo vrste budućih prilagođenih poruka koje ćemo vam možda slati. Na primjer, utvrđujemo – na temelju kupovnih navika – u koje vrijeme ili s kojom učestalošću bi vam vrijedilo slati prilagođene marketinške poruke ili koje bi vam vrste proizvoda i usluga vrijedilo ponuditi. Prilagođena ponuda je, na primjer, da vam na vaš rođendan možemo poslati kupon za vašu omiljenu vrstu kave. Vašu omiljenu vrstu kave utvrđujemo na temelju prethodnih kupovina. Ako vidimo da uz kafu kupujete i pekarski proizvod, u poslanoj marketinškoj poruci vam možemo ponuditi i takav proizvod.]
Mjere sigurnosti podataka:
Voditelji obrade podataka vaše lične podatke pohranjuju u zaštićenom elektroničkom repozitoriju podataka kako bi osigurali tajnost, cjelovitost i dostupnost vaših ličnih podataka u skladu s informatičkim sigurnosnim normama i standardima. U okviru zaštite proporcionalne riziku i mjerenja povjerljivosti ličnih i poslovnih podataka, voditelji obrade podataka osiguravaju zaštitu podataka na razini mreže, infrastrukture i aplikacije (vatrozidovima, antivirusnim programima, mehanizmima enkripcije za pohranu i komunikaciju, filtriranjem sadržaja te drugim tehničkim i procesnim rješenjima). Povrede ličnih podataka stalno se prate te se njima stalno upravlja. U slučaju enkripcije, protok šifriranih podataka nije moguće povratiti bez poznavanja koda za dekripciju zbog asimetričnog kodiranja, uz filtriranje sadržaja te druga tehnička i procesna rješenja). Incidenti povezani sa sigurnošću podataka stalno se prate.
Mjere sigurnosti podataka:
| Sistem upravljanja informacijskom sigurnošću | Radi osiguranja povjerljivosti, cjelovitosti i dostupnosti organizacijskih podataka primjenom politika, procesa, opisa procesa, organizacijskih struktura, softverskih i hardverskih funkcija. |
| Fizički pristup | Radi osiguranja zaštite fizičke imovine koja sadrži podatke o društvu. |
| Logički pristup | Radi osiguranja da samo odobreni i ovlašteni korisnici imaju pristup podacima koje koriste društva. |
| Pristup podacima | Radi osiguranja da samo ovlašteni korisnici sustava imaju pristup podacima društva. |
| Prijenos/pohrana/brisanje podataka | Radi osiguranja da korporativni podaci društva ne prenosi, čita, mijenja ili briše neovlaštena osoba dok se prenose ili pohranjuju. Osim toga, podaci društva moraju se izbrisati čim svrha obrade prestane postojati. |
| Povjerljivost i cjelovitost | Radi osiguranja da se korporativni podaci održavaju povjerljivima i ažuriranima, a time se postiže i očuvanje cjelovitosti. |
| Dostupnost | Radi osiguranja da su podaci društva zaštićeni od slučajnog uništenja ili gubitka i, u slučaju takvog događaja, da je pristup podacima društva i njihov povrat pravovremen. |
| Odvajanje podataka | Radi osiguranja da se podaci društva obrađuju odvojeno od podataka drugih klijenata. |
| Upravljanje incidentima | U slučaju bilo kakve povrede korporativnih podataka, učinak povrede će se svesti na najmanju moguću mjeru, te će vlasnici podataka društva odmah biti obaviješteni. |
| Revizija | Radi osiguranja da izvršitelj obrade periodično ispituje, pregledava i ocjenjuje učinkovitost gore navedenih tehničkih i organizacijskih mjera. |
Vaša prava u vezi s obradom podataka:
U svakom trenutku možete zatražiti informacije o vašim ličnim podacima koji se obrađuju, možete zatražiti ispravak i brisanje vaših ličnih podataka ili ograničenje njihove obrade. Nadalje, možete uložiti prigovor na obradu podataka na temelju legitimnog interesa i izravnog marketinga (slanje izravnih marketinških poruka), te imate pravo na prenosivost podataka. U nastavku navodimo sažetak najvažnijih odredbi. Možete ostvarivati prava i tražiti pravne lijekove kontaktiranjem bilo kojeg od zajedničkih voditelja obrade podataka (u daljnjem tekstu zasebno „Društvo”).
Pravo na informacije:
Ako Društvo obrađuje vaše lične podatke, mora vam pružiti informacije – čak i bez vašeg posebnog zahtjeva za njima – o glavnim obilježjima obrade podataka, uključujući svrhu, pravnu osnovu i razdoblje obrade, identitet i kontakt podatke Društva i njegovog predstavnika, podatke za kontakt službenika za zaštitu podataka, primatelja ličnih podataka (u slučaju prijenosa podataka u treće zemlje, navodeći također i odgovarajuća i prikladne garancije), legitimne interese Društva i/ili trećih strana u slučaju obrade podataka na temelju legitimnog interesa, nadalje vaša prava zaštite podataka i vaše mogućnosti traženja pravnog lijeka (uključujući pravo podnošenja prigovora nadzornom tijelu), izvor ličnih podataka – ako vi niste izvor – kao i kategorije ličnih podataka, u slučaju da još niste imali sve ove informacije. U slučaju automatiziranog donošenja odluka i izrade profila, Društvo vas mora na razumljiv način obavijestiti o logici, kao i važnosti te predviđenim posljedicama takve obrade za vas. Gore navedene informacije Društvo pruža stavljajući vam na raspolaganje ovu obavijest o privatnosti podataka.
Pravo na pristup:
Imate pravo od Društva dobiti potvrdu o tome obrađuju li se lični podaci koji se odnose na vas ili ne i, kad je to slučaj, pristup ličnim podacima i određenim informacijama koje se odnose na obradu podataka, kao što su svrha obrade podataka, kategorije ličnih podataka koji se obrađuju, primatelji ličnih podataka, (predviđeno) razdoblje obrade podataka, prava ispitanika na zaštitu podataka i mogućnosti traženja pravnog lijeka (uključujući pravo podnošenja prigovora nadzornom tijelu), kao i informacije o izvoru podataka kada oni nisu prikupljeni od vas.
Na vaš zahtjev Društvo će dostaviti kopiju vaših ličnih podataka koji se obrađuju. Za sve daljnje kopije koje zatražite Društvo može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ste zahtjev podnijeli elektroničkim putem, i ako niste zatražili drugačije, informacije se pružaju u uobičajenom elektroničkom obliku. Pravo na dobivanje kopije ne smije negativno utjecati na prava i slobode drugih.
Nakon prijema vašeg zahtjeva, Društvo će vam pružiti informacije o mogućnosti, postupku, potencijalnim troškovima i drugim pojedinostima o pružanju kopije.
U slučaju automatiziranog donošenja odluka i izrade profila, ispitanik ima pristup sljedećim informacijama: logika te važnost i predviđene posljedice takve obrade za vas.
Pravo na ispravak:
Imate pravo bez nepotrebne odgode od Društva zahtjevati ispravku netačnih ličnih podataka koji se odnose na vas. Uzimajući u obzir svrhe obrade, imate pravo dopuniti nepotpune lične podatke, među ostalim i davanjem dodatne izjave.
Pravo na ispravak:
Imate pravo bez nepotrebne odgode od Društva zahtjevati ispravku netačnih ličnih podataka koji se odnose na vas. Uzimajući u obzir svrhe obrade, imate pravo dopuniti nepotpune lične podatke, među ostalim i davanjem dodatne izjave.
Pravo na brisanje:
Imate pravo od Društva ishoditi brisanje ličnih podataka koji se odnose na vas bez nepotrebne odgode, a Društvo ima obvezu obrisati lične podatke bez nepotrebne odgode ako postoje određeni temelji ili uvjeti. Među ostalim temeljima, Društvo je obvezno obrisati vaše lične podatke na vaš zahtjev, primjerice ako lični podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; ako povučete svoju suglasnost na kojoj se obrada temelji i ako ne postoji druga pravna osnova za obradu; ako su lični podaci nezakonito obrađeni; ako uložite prigovor na obradu te ne postoje jači legitimni razlozi za obradu; ako se lični podaci moraju brisati radi poštovanja pravne obveze iz prava Unije ili prava države kojem Društvo podliježe; ili ako su lični podaci prikupljeni u vezi s ponudom usluga informacijskog društva.
Ako se obrada podataka temelji na vašoj saglasnosti, posljedica povlačenja saglasnosti: ne šaljemo niti nudimo prilagođene, personalizirane marketinške (oglašivačke) poruke ili promotivne ponude, izuzev slanja e-mail poruke o osvojenom kuponu ili dodatnim bodovima koji su ostvareni sudjelovanjem u nekoj od INA/EP CLUB programom lojalnosti kampanja ili izazova, koja se tretira kao transakcijska poruka temeljem pravne osnove izvršavanja ugovornih obveza.
Obavještavamo vas da povlačenje vaše saglasnosti ne utječe na zakonitost obrade podataka koja je izvršena na temelju vaše saglasnosti prije povlačenja.
Pravo na ograničenje obrade:
Imate pravo od Društva ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg:
(a) osporavate točnost ličnih podataka, na razdoblje kojim se Društvu omogućuje provjera točnosti ličnih podataka;
(b) obrada je nezakonita i protivite se brisanju ličnih podataka te umjesto toga tražite ograničenje njihove uporabe;
(c) Društvo više ne treba lične podatke za potrebe obrade, ali ih vi trebate radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
(d) uložili ste prigovor na obradu, te je u tijeku postupak potvrđivanja pitanja nadilaze li legitimni razlozi Društva vaše legitimne razloge.
Ako je obrada ograničena u skladu s gore navedenim razlozima, takvi lični podaci smiju se obrađivati samo uz vašu suglasnost, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili odbranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa.
Društvo će vas obavijestiti prije nego što ograničenje obrade bude ukinuto.
Pravo na prenosivost podataka:
Imate pravo zaprimiti lične podatke koji se odnose na vas, a koje ste pružili Društvu u strukturiranom, uobičajeno upotrebljavanom i mašinski čitljivom formatu te imate pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane Društva kojem su lični podaci pruženi, ako se:
(a) obrada temelji na vašoj suglasnosti ili na izvršenju ugovora (u kojem ste strana); i
(b) obrada provodi automatiziranim putem.
Prilikom ostvarivanja svojih prava na prenosivost podataka, imate pravo na dirktnii prijenos ličnih podataka od jednog voditelja obrade drugome ako je to tehnički izvedivo.
Pravo na prenosivost podataka ne dovodi u pitanje odredbe koje uređuju pravo na brisanje; nadalje, ono ne smije negativno utjecati na prava i slobode drugih.
Pravo na prigovor:
Imate pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu ličnih podataka koji se odnose na vas, a koja se temelji na legitimnim interesima Društva, uključujući izradu profila koja se temelji na tim odredbama. Društvo više ne smije obrađivati lične podatke osim ako ne dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze vaše interese, prava i slobode, ili u svrhu postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Ako se lični podaci obrađuju za potrebe izravnog marketinga, u svakom trenutku imate pravo uložiti prigovor na obradu ličnih podataka koji se odnose na vas za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom. Ako se protivite obradi za potrebe izravnog marketinga, lični podaci više se ne smiju obrađivati u takve svrhe.
Okvir ostvarivanja prava:
Društvo pruža informacije o poduzetim radnjama na zahtjev na temelju vaših gore navedenih prava bez nepotrebne odgode i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produžti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Društvo vas obavješćuje o svakom takvom produženju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgode. Ako zahtjev podnesete elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako zatražite drugačije.
Ako Društvo ne poduzme radnju u vezi s vašim zahtjevom, ono vas bez odgode i najkasnije jedan mjesec od primitka zahtjeva izvještava o razlozima zbog kojih nije poduzelo radnji te o mogućnosti podnošenja pritužbe nadležnom nadzornom tijelu za zaštitu podataka (u Bosni i Hercegovini: Agencija za zaštitu ličnih podataka; skraćeno kao „AZIP”) i traženja pravnog lijeka.
Kontakt podatci AZIP-a su dostupni na web stranici: www.azlp.ba
Društvo informacije pruža u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatražite, informacije se mogu pružiti usmenim putem, pod uvjetom da se vaš identitet utvrdi drugim sredstvima.
Ne dovodeći u pitanje druge upravne ili sudske pravne lijekove, državljani EU imaju pravo podnijeti pritužbu nadzornom tijelu Europske unije, ako smatraju da obrada ličnih podataka koja se odnosi na njih krši odredbe GDPR-a. O tome kako kontaktirati nadzorna tijela u Europskoj uniji možete pročitati ovdje: