Općenite informacije o obradi

Napomene o zaštiti podataka u vezi s našim dm sjedištem, dm distribucijskim centrima, našim dm prodavaonicama.

A. Voditelj obrade

Kao voditelj obrade u smislu Opće uredbe o zaštiti podataka (u daljnjem tekstu „GDPR“), mi, društvo dm-drogerie markt d.o.o., Kovinska 5a, 10 090 Zagreb, zaštitu Vaših osobnih podataka shvaćamo vrlo ozbiljno, te se pridržavamo zakonskih odredbi o zaštiti podataka.

U nastavku bismo vam željeli objasniti koje podatke o Vama prikupljamo kada posjetite naše dm sjedište, naše dm distribucijske centre, naše dm prodavaonice i u koju svrhu Vaše podatke koristimo. Ako želite, možete nas kontaktirati putem našeg kontakt obrasca.

B. Informacije za posjetitelje dm sjedišta i dm distribucijskih centara

Zaštitu Vaših osobnih podataka shvaćamo vrlo ozbiljno. Prema podacima, koje ste nam povjerili, postupamo odgovorno i strogo povjerljivo u skladu s važećim propisima o zaštiti podataka. Stoga bismo Vas u ovom trenutku htjeli objasniti kako u našem poduzeću provodimo propise o zaštiti podataka i koje podatke prikupljamo, obrađujemo i koristimo tijekom Vašeg posjeta dm-u.

Molimo pažljivo pročitajte sljedeće napomene.

Ako imate bilo kakvih pitanja, naš tim na recepciji će Vam svakako prvi biti na raspolaganju. Ako imate dodatnih pitanja, slobodno kontaktirajte naš tim za zaštitu podataka koristeći kontakt podatke u nastavku.

I. Video nadzor u sjedištu dm-a i dm distribucijskim centrima

1. Svrha obrade podataka i pravna osnova

Video zapisi služe za zaštitu imovine i za istraživanje kaznenih djela. Pravna osnova za ovu obradu podataka je čl. 6. st. 1. f) GDPR-a, temeljena na našem interesu za osiguranje dokaza i sprječavanje kaznenih djela.

2. Trajanje pohrane, prosljeđivanje podataka

Videozapisi se brišu nakon 30 radnih dana, osim ako je potrebno osiguranje dokaza. Video snimke mogu pogledati pružatelji usluga privatne zaštite, i ako se sumnja na kazneno djelo, mogu se proslijediti tijelima nadležnima državnim i sudbenim tijelima.

II. WLAN u sjedištu dm-a i dm distribucijskim centrima

1. Svrha obrade podataka i pravna osnova

Imate mogućnost korištenja našeg WLAN-a (ako je dostupan). Pravna osnova za ovu obradu podataka je čl. 6. st. 1. f) GDPR-a, temeljena na našem interesu da Vam ponudimo ovu uslugu. S tim u vezi bilježe se Vaši podaci o spajanju i podaci o kretanju, posebno Vaša IP adresa, odabrane internetske stranice, podaci o lokaciji te datum i vrijeme.

2. Trajanje pohrane, prosljeđivanje podataka

Podaci o spajanju i kretanju pohranjuju se u skladu sa zakonskim rokovima čuvanja. Podaci o spajanju i kretanju mogu se proslijediti davateljima usluga kao što su mrežni operateri, pružatelji IT usluga i, u slučaju sumnje na kazneno djelo prilikom korištenja usluge, pregledavaju se i prosljeđuju tijelima nadležnima za kazneni progon.

III. Ostale namjene, pravna osnova

Možda smo već prikupili, obradili i koristili Vaše osobne podatke u svrhu dogovaranja termina prije Vašeg osobnog posjeta.

Vaši će se podaci koristiti samo u svrhu obrade termina (rezervacija sobe, izrada značke posjetitelja, parkirne kartice itd.).

Vaši se osobni podaci prikupljaju, obrađuju i koriste u skladu s propisima o zaštiti podataka iz Opće uredbe o zaštiti podataka (GDPR) i Zakona o provedbi Opće uredbe o zaštiti podataka kao i drugih relevantnih zakona.

Pravna osnova za time povezanu obradu podataka u slučaju upita u vezi s ugovorima jest čl. 6. st. 1. b) GDPR-a, u ostalim slučajevima čl. 6. st. 1. f) GDPR-a, temeljena na našem legitimnom interesu da optimalno organiziramo Vaš posjet našem dm sjedištu ili dm distribucijskim centrima.

IV. Primatelji podataka

Tijekom Vašeg posjeta, a u svrhu ostvarenja gore opisane svrhe, Vaši osobni podaci mogu se prenijeti ili proslijediti pružateljima usluga u okviru obrade narudžbe.

Osim toga, Vaši se podaci neće prosljeđivati trećim stranama ako nismo zakonski obvezni to učiniti.

V. Prijenos u treće zemlje

Tijekom Vašeg posjeta osobni podaci mogu se prenijeti u zemlje izvan Europske unije (EU) / Europskog gospodarskog prostora (EEA) (treće zemlje).

Takve zemlje mogu imati propise o zaštiti podataka koji su drugačiji i pružaju manju razinu zaštite od onih u EU. Posljedica toga može npr. biti da vlasti mogu obrađivati Vaše podatke u svrhu nadzora i praćenja, možda čak i bez mogućnosti pravnog lijeka. U slučaju da se osobni podaci obrađuju izvan EU i ako Europska komisija nije donijela odluku o prikladnosti, provodimo odgovarajuće sigurnosne mjere, uključujući zaključivanje standardnih klauzula o zaštiti podataka EU.

Tekstove standardiziranih predložaka Europske komisije možete pronaći online na https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en, oluke o prikladnosti možete pronaći na https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en#dataprotectionincountriesoutsidetheeu.

VI. Ostali rokovi pohrane/rokovi brisanja

Vaši osobni podaci bit će pohranjeni u alatu za rezervaciju dvorane za sastanke najdulje 7 godina. Zatim će se izbrisati.

C. Informacije za posjetitelje dm prodavaonica

Molimo pažljivo pročitajte sljedeće napomene.

Ako imate bilo kakvih pitanja, slobodno se obratite našem timu za zaštitu podataka koji Vam pod niže navedenim podacima stoje na raspolaganju.

I. Video nadzor u dm prodavaonicama

1. Svrha obrade podataka i pravna osnova

2. Trajanje pohrane, prosljeđivanje podataka

Videozapisi se brišu nakon 30 radnih dana, osim ako je potrebno osiguranje dokaza. Video snimke mogu pogledati pružatelji usluga privatne zaštite i, ako se sumnja na kazneno djelo, mogu se proslijediti tijelima nadležnima za kazneni progon.

II. WLAN u dm prodavaonicama

1. Svrha obrade podataka i pravna osnova

2. Trajanje pohrane, prosljeđivanje podataka

III. Usluga naručivanja izrade fotografija i ispisa

1. Svrha obrade podataka i pravna osnova

dm obrađuje Vaše slikovne podatke kako bi obradio Vašu narudžbu fotografija. Pravna osnova za ovu obradu podataka je ispunjenje ugovora prema čl. 6. st. 1.b) GDPR-a.

Davanje podataka za kontakt (ime i adresa) tijekom postupka naručivanja je dobrovoljno. Služi samo za lakše pronalaženje narudžbe i kao dodatno sredstvo identifikacije prilikom preuzimanja naručenog. U ovom slučaju pravna osnova proizlazi iz čl. 6. st. 1. f) GDPR-a, na temelju našeg interesa da je obrada narudžbe prilagođena zahtjevima kupca.

IV. Načini plaćanja

1. Obrada podataka za elektronički platni promet

Ako plaćate karticom ili mobilnim načinom plaćanja, mi kao trgovac prikupljamo osobne podatke putem našeg terminala za plaćanje. Podatke prenosimo mrežnom operateru. Mrežni operater i odgovarajući davatelj usluga platnog prometa (npr. prihvatitelj kartica) obrađuju podatke kako bi prihvatili i obračunali platne transakcije. To se posebno radi u svrhu obrade plaćanja, kako bi se spriječila zlouporaba kartice, ograničio rizik od neplaćanja i u zakonski propisane svrhe, poput suzbijanja pranja novca i kaznenog progona. U te svrhe Vaši će se podaci prenositi i drugim voditeljima obrade, poput banke koja vam je izdala karticu.

2. Odgovorna tijela

Potrebno je mnogo koraka kako biste mogli sigurno platiti karticom ili mobilnim načinom plaćanja. Stoga kao trgovac kod kojeg plaćate karticom surađujemo s mrežnim operatorom i - u slučaju plaćanja kreditnim i debitnim karticama i mobilnim načinima plaćanja - s jednim ili više prihvatitelja kartica. Mi, mrežni operater i prihvatitelj kartica zasebni smo voditelj obrade u vlastitom tehničkom okviru utjecaja, i to kako slijedi: Odgovorni smo za rad terminala za plaćanje na blagajni i, ako je potrebno, za našu internu mrežu do sigurnog prijenosa putem interneta ili telefonske linije do mrežnog operatora. Mrežni operateri odgovorni su za rad središnje mreže, tamošnju obradu, prekodiranje, procjenu rizika i daljnji prijenos. Prihvatitelji kartica su pružatelji platnih usluga regulirani u skladu sa Zakonom o pružateljima platnih usluga (ZaDiG) koji za nas prihvaćaju i obračunavaju platne transakcije.

3. Obrada podataka i pravna osnova

U okviru bezgotovinskog plaćanja Vaše kupnje (npr. pomoću bankovne kartice), Vaši odgovarajući podaci o plaćanju (IBAN ili broj kreditne kartice, ID oznaka pretplatnika, datum isteka kartice, broj za praćenje kartice, vrsta kreditne kartice, PIN, podaci o verifikaciji od izdavatelja kartice, datum, vrijeme, iznos uplate, ID terminala, tj. mjesto, tvrtka i podružnica) prosljeđuju se pružateljima usluga platnog prometa odgovornim za to (mrežnim operaterima, prihvatiteljima kartica i bankama) isključivo u svrhu obrade plaćanja. Ako u okviru Vaše kupnje plaćate bonom, podaci sadržani na bonu i podaci o Vašoj kupnji razmjenjivat će se, u skladu s uvjetima tijela izdavatelja ili trećih osoba u vezi s dotičnim bonom, upravo s tim tijelima ili trećim osobama.

Isto vrijedi i ako osporavate transakciju u slučaju plaćanja kreditnom karticom ili transakciju mobilnim načinom plaćanja, izvršenu s Vašom ID oznakom pretplatnika ili karticom: u ovom slučaju, potvrda o uplati (s Vašim potpisom) može se proslijediti instituciji koja izdaje karticu. Ne prosljeđuju se niti ime ni adresa.

Prosljeđivanje podataka o plaćanju potrebno je kako bi se dovršio postupak plaćanja, a time i kupnja. Ako ne želite da se za to daju Vaši podaci, imate mogućnost plaćanja gotovinom.

Pravna osnova za obradu podataka: čl. 6. st. 1 b) GDPR-a radi provjere i obrade Vaše uplate nama kao trgovcu.

4. Automatizirano donošenje odluka

Uz to, podaci prikupljeni u okviru obrade izravnim terećenjem koriste se kako je opisano u nastavku. Prilikom plaćanja karticom i potpisom, PIN-om ili beskontaktno u suradnji s MONRI PAYMENTS d.o.o., Radnička cesta 54, 10000 Zagreb prosljeđujemo sljedeće podatke o plaćanju - bez imena:

Broj Vašeg računa i kôd banke ili IBAN, datum isteka kartice, broj za praćenje kartice, te datum, vrijeme, iznos uplate, oznaka terminala (mjesto, poduzeće i prodavaonica).

Ti su podaci potrebni za provjeru i obradu Vaše uplate. Također služe za sprječavanje zlouporabe kartice i ograničavaju rizik od neplaćanja. U tu svrhu definiraju se maksimalni iznosi za plaćanja u određenim vremenskim razdobljima, koji mogu varirati ovisno o kartici. Pomoću ovih podataka MONRI može dati preporuke trgovcima koji su povezani na njegov sustav kako bi mogli odlučiti žele li prihvatiti plaćanje karticom i potpisom odnosno PIN-om ili beskontaktno. U tu se svrhu podaci o plaćanju također se kratkoročno - nekoliko dana - koriste između trgovaca.

Pravna osnova za ove obrade podataka je čl. 6. st. 1. f) GDPR-a, temeljena na našem legitimnom interesu da izbjegnemo neplaćanja te da rizik od zlouporabe svedemo na minimum. Vaši se podaci neće koristiti u svrhu provjere kreditne sposobnosti. Podaci o plaćanju koristit će se isključivo u kontekstu obrade plaćanja kako bi se odlučilo hoće li se odgovarajućem trgovcu preporučiti plaćanje karticom i potpisom.

5. Prigovor u pojedinačnim slučajevima

Iz razloga koji proizlaze iz Vaše određene situacije, imate pravo, u bilo kojem trenutku, uložiti prigovor na obradu podataka na temelju čl. 6. st. 1. f) GDPR-a, tj. na obradu podataka na temelju vaganja interesa. Ako opravdano uložite prigovor, Vaši se podaci više neće obrađivati na temelju čl. 6. st. 1. f) GDPR-a, uz dvije iznimke:

Vaši će se podaci obrađivati dalje u mjeri u kojoj mi kao voditelj obrade možemo dokazati da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze Vaše interese, prava i slobode, posebno npr. u slučaju zakonskih obveza čuvanja i u svrhu plaćanja koje je već počelo na terminalu za plaćanje, ali još nije dovršeno. Vaši će se podaci dalje obrađivati radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

6. Razdoblje pohrane

Nakon obrade postupka plaćanja, Vaši će se podaci pohraniti u skladu sa zakonskim rokovima čuvanja, a zatim će biti izbrisani, čl. 6. st. 1. c) GDPR-a. Svaka daljnja obrada podataka zbog zakonskih propisa ostaje nepromijenjena (npr. propisi o pranju novca).

7. Primatelj i prijenos u treće zemlje

Mnogi su koraci potrebni da biste mogli sigurno plaćati svojom karticom. Mi kao trgovac kod kojeg plaćate karticom stoga surađujemo s mrežnim operaterom i – u slučaju plaćanja kreditnim karticama – s jednim ili nekoliko pružatelja platnih usluga. Mi, mrežni operater i pružatelji platnih usluga smo, kako slijedi, odvojeni voditelji obrade za obradu podataka uvijek u svom tehničkom području utjecaja. Mi smo odgovorni za rad platnog terminala na blagajni i eventualno za našu internu mrežu do sigurnog prijenosa mrežnom operateru putem interneta ili telefonske linije. Mrežni operateri nadležni su za centralni rad mreže, tamošnju obradu, konverziju koda, provjeru rizika i daljnje prenošenje. Pružatelji platnih usluga su sukladno Zakonu o pružateljima platnih usluga regulirani pružatelji platnih usluga koji za nas provode prihvaćanje i obračun platnih postupaka.

Prijenos podataka o plaćanju karticama u treće zemlje putem naših sustava ne provodimo. Također obratite pažnju na informacije o zaštiti podataka određenog pružatelja usluga, uključujući bilo kakvu obradu podataka u trećim zemljama. Prihvatitelji kartica prosljeđuju Vaše podatke u sustav platnih kartica izvan Europskog gospodarskog prostora u skladu s dogovorenim pravilima (Obvezujuća korporativna pravila, Standardne ugovorne klauzule) kako bi autorizirali i izvršili Vaše plaćanje.

V. Obrada podataka na temelju Uredbe o eksplozivima

Od 01.02.2021. primjenjuje se nova Uredba o eksplozivima (EU) 2019/1148. Ova uredba služi za sprečavanje neovlaštene vlastite proizvodnje eksploziva. U dm-u prodajemo proizvode koji sadrže djelomično regulirane sirovine za eksplozive u smislu ove uredbe, poput acetona ili vodikovog peroksida. Iz toga za dm proizlazi nekoliko obaveza, posebice prijavljivanje sumnjivih transakcija, krađe i gubitka odgovornom državnom uredu kriminalističke policije uz sudjelovanje našeg pravnog savjetnika.

U slučaju sumnjive transakcije obrađujemo Vaše ime i prezime, Vašu adresu odnosno detalje za kontakt, vrstu i količinu predmetnih artikala na temelju Vaše kupnje, kako bismo ispunili obaveze prijavljivanja prema Uredbi o eksplozivima. Pravna osnova je čl. 6. st. 1. c) GDPR-a u vezi s čl. 9. st. 4 Uredbe o osnovnim eksplozivima.

Sve poruke bilježimo i njima upravljamo elektroničkim putem u takozvanom sustavu „ticketa“. Taj sustav omogućuje sustavno upravljanje procesima i centralno upravljanje njima.

Unosi u sustav „ticketa“ u pravilu se brišu najkasnije nakon 6 godina.

D. Prava ispitanika i službenik za zaštitu podataka

I. Prava ispitanika

1. Općenito

Naši posjetitelji imaju pravo na informacije o obradi njihovih osobnih podataka, pravo na prijenos podataka i, ako je potrebno, prava na brisanje, ispravak, ograničenje obrade i/ili prigovor na obradu, kao i pravo na podnošenje prigovora hrvatskom nadzornom tijelu.

Agencija za zaštitu osobnih podataka
Selska cesta 136
10000 Zagreb
Telefon: 00385 (0)1 4609-000
e-mail: azop@azop.hr

2. Posebne informacije o pravu na prigovor u skladu s čl. 21. GDPR-a

Iz razloga koji proizlaze iz Vaše posebne situacije, imate pravo u bilo kojem trenutku uložiti prigovor na obradu Vaših osobnih podataka, a koja se temelji na čl. 6. st. 1. f) GDPR-a (obrada podataka radi zaštite legitimnog interesa). To se također odnosi na profiliranje na temelju ove pravne osnove (čl. 4. br. 4. GDPR-a).

Ako uložite prigovor, više nećemo obrađivati Vaše osobne podatke, osim ako ne dokažemo da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Ako uložite prigovor na obradu Vaših podataka u reklamne svrhe, na temelju čl. 6. st. 1. f) GDPR-a, odmah ćemo zaustaviti obradu bez daljnje provjere. To se također odnosi na profiliranje koje se provodi u takvim kontekstima.

II. Službenik za zaštitu podataka

Za upite o zaštiti podataka ili Vaših osobnih podataka kod dm-a možete se obratiti našem službeniku za zaštitu podataka:

putem e-maila:
zastitapodataka@dm.hr

ili na adresu:

dm-drogerie markt d.o.o.
Službenik za zaštitu podataka
Kovinska 5a
10090 Zagreb

Također nas možete kontaktirati putem kontakt obrasca.