PRAVILA POSTUPANJA S OSOBNIM PODACIMA

1. UVOD

Ovim dokumentom utvrđuju se pravila postupanja, te prava i obveze Mezzanine Partners d.d., Radnička cesta 39, Zagreb povezana sa zaštitom osobnih podataka klijenata koje Mezzanine Partners d.d. obraduje u svrhu pružanja usluge upravljanja alternativnim investicijskim fondovima s privatnom ponudom (AIF) te prava i obveze fizičkih osoba čiji se osobni podaci obraduju, a sve u skladu s odredbama Opće uredbe o zaštiti osobnih podataka.

2. DEFINICIJE

Pojedini pojmovi upotrijebljeni u ovom dokumentu imaju sljedeće značenje:


"Društvo" je Mezzanine Partners d.d., Radnička cesta 39, Zagreb
Tel: 01 282 0616;
INFO e-mail: info@mezz-partners.hr;
INFO web: https://mezz-partners.hr/

"Voditelj obrade" je Društvo u odnosu na osobne podatke koje obrađuje.

"Izvršitelj obrade" je fizička ili pravna osoba koja obrađuje osobne podatke u ime Društva, temeljem sklopljenog ugovora.

"Osobni podaci" su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, izravno ili neizravno, osobito uz pomoć podataka kao što su ime, osobni identifikacijski broj (OIB), drugi identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za njegov fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet.

"Obrada" je svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima, automatiziranim iii neautomatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba iii izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem, ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje iii uništavanje.

"GDPR" (engl. General Data Protection Regulation) je Opća uredba o zaštiti osobnih podataka, punog naziva Uredba (EU) 2016/679 Europskog parlamenta i vijeća od 27. travnja 2016.g. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ.

"Ispitanik" je fizička osoba čije osobne podatke Društvo obrađuje temeljem jedne iii više pravnih osnova propisanih GDPR-om. Ispitanik može biti osoba koja je pristupila AIF-u zatim osoba koja je zatražila sklapanje ugovora o ulaganju u AIF, njen/njegov zakonski zastupnik, skrbnik iii opunomoćenik, osoba čiji osobni podaci se obradđuju u sklopu razmatranja i provedbe ulaganja Alf-a, kao i osoba koja je dala privolu za obradu podataka (dalje: Klijent), ali može biti i osoba koja nije klijent, kao npr. osoba koja je posjetila poslovne prostorije Društva.

"Privola" je svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje Ispitanika kojim on izjavom iii jasnim potvrdnim radnjama daje pristanak za obradu osobnih podataka koji se na njega odnose.

"Anonimizacija" je vrsta obrade osobnih podataka koja uključuje odgovarajuće postupke kojima se onemogućuje identifikacija ćdnosno pćvezivanje pćdataka i/ili zapisa u bazama pćdataka sa identitetom Klijenta odnćsno drugog ispitanika čiji se osobni podaci obraduju. Anonimizacija se može provesti, primjerice brisanjem podataka iii trajnom izmjenama podataka.

3. OBRADA OSOBNIH PODATAKA

Kategorije osobnih podataka

Društvo prikuplja i obrađuje sljedeće kategorije osobnih podataka Klijenata:

1. Temeljni osobni podaci kao što su npr: ime i prezime, adresa prebivališta, OIB, porezni identifikacijski broj drugih poreznih jurisdikcija, datum, mjesta i država rođenja, državljanstvo, broj i izdavatelj identifikacijske isprave;

2. Sociodemografski padaci kao npr: oblik zaposlenja/djelatnosti, prosječna mjesečna primanja, ostali izvori prihoda, iskustvo trgovanja sa financijskim instrumentima;

3. Podaci o poslovnom odnosu Klijenta s Društvom, npr: kategorija i naziv AIF-a, datum osnivanja i prestanka poslovnog odnosa, podaci o uplatama i isplatama, podaci o stanju ulaganja;

4. Podaci o financijskoj identifikaciji, kao što su npr. broj transakcijskog računa;

5. Kontakt podaci: broj i vrsta telefana (fiksni, mabilni), e-mail adresa, korespondentna adresa, način i izvještavanja;)

Cjeloviti popis osobnih podataka Klijenata koje Društvo obrađuje nalazi se u prilogu ovih Pravila.

Svrha i pravna osnova obrade
Društva prikuplja i obrađuje osobne podatke kako bi ostvarila odredene svrhe. Svrhe obrade zajedno sa pravnim osnovama i postupcima obrade za svaku svrhu obrade, detaljnije su opisane u nastavku ovog dokumenta.

Osobni podaci Klijenta obrađuju se za sljedeće svrhe i temeljem jedne ili više sljedećih pravnih osnova:

a. Poštivanja pravnih obveza Društva
Društvo je registrirano za obavljanje djelatnosti upravljanja AIF-ovima, koja je uređena zakonima i podzakonskim propisima, koji pravno obvezuju Društvo. Društvo obrađuje osobne podatke radi izvrsavanja pravnih obveza na temelju nize navedenih propisa Republike Hrvatske i prava Europske unije. Na temelju Zakona a alternativnim investicijskim fondovima i pripadajućih pravilnika, Društvo vodi registar udjela i obrađuje osobne podatke Klijenta za svaki AIF fond kojim upravlja. Zakonom o sprječavanju pranja novca i financiranja terorizma i provedbenim aktima te Zakonom o medunarodnim mjerama ograničavanja i odlukama Europske unije o primjeni međunarodnih mjera ograničavanja i njihovih pravedbenih propisa propisane su mjere dubinske analize Klijenta i druge pravne obveze Društva.
Sukladno Sporazumu izmedu Vlade Republike Hrvatske i Vlade Sjedinjenih Američkih Država u cilju unaprjeđenja izvršenja poreznih obveza na međunarodnoj razini i provedbe FATCA-e i Zakonu o administrativnoj suradnji u području poreza, Društvo je obvezno prikupiti informacije o financijskim računima i informacije o računima o kojima se izvještavaju porezne vlasti SAD-a, porezne vlasti država članica Europske unije i drugih jurisdikcija izvan Europske unije, kako bi ih dostavili Ministarstvu financija - Poreznoj upravi koja ih razmjenjuje s nadležnim tijelima drugih država, uključujući i porezne vlasti SAD-a. Zakonom o porezu na dohodak propisana je obveza vođenja porezne evidencije od strane Društva u odredenim situacijama o utvrđenom dohotku od kapitala te obračunu poreza na dohodak od kapitala po osnovi kapitalnih dobitaka i druge pravne obveze Društva.

b. Sklapanje ugovora i/ili izvršavanja ugovora u kojem je Klijent stranka odnosno njezin zakonski zastupnik, skrbnik iii opunomoćenik
Za pružanje bilo koje financijske usluge potrebno je sklopiti ugovor. Kako bi to bilo moguće, Klijent je u obvezi pružiti Društvu svoje osobne podatke, a u nekim slučajevima i osobne podatke drugih osoba (npr. punomoćnika i sl.). Podnošenjem urednog zahtjeva za izdavanje udjela u AIF fondu, a nakon uplate na račun fonda, odnosno upisom Klijenta u registar udjela u svim ostalim slučajevima stjecanja udjela, Klijent sklapa ugovor o ulaganju s Društvom. Kako bi to bilo moguće, Klijent je u obvezi pružiti Društvu svoje osobne podatke (ili te podatke daje zakonski zastupnik/skrbnik Klijenta).
Također, kada se Klijent odlući na otkup udjela iii prijenos udjela na drugu osobu, Društvo prikuplja i obrađuje osobne podatke potrebne za izvršavanje ugovora tj. otkup udjela, iii prijenos udjela.
Kada se podaci prikupljaju za svrhu sklapanja iii izvršavanja gore opisanih ugovora, potrebno je, osim osobnih podataka, Društvu dostaviti i isprave kojima se pruženi osobni podaci potkrjepljuju (npr. osobna iskaznica), te isprave i podaci kojima se dokazuju činjenice relevantne za sklapanje i/ili izvršenje određenog ugovora (npr. podatak o računu za isplatu).
Društvo ima zakonsku obvezu utvrditi identitet svakog Klijenta s kojim uspostavlja poslovni odnos, te mu je u tu svrhu Klijent dužan predočiti i isprave kojima se identitet dokazuje, a Društvo je u obvezi zadržati i pohraniti preslike identifikacijskih isprava na papiru iii u digitalnom obliku.
Ukoliko Klijent ne pruži sve podatke koji se obraduju za ovu svrhu iii odgovarajuće isprave, Društvo neće biti u mogućnosti sklopiti ugovor.

c. Ostvarenje legitimnih interesa Društva
Legitimni interes Društva je i ispunjavanje propisanih zahtjeva fizičke zaštite i sigurnosti, što se ostvaruje evidentiranjem osobnih podataka osoba koje posjećuju poslovne prostorije Društva.

Izvori podataka
U pravilu se osobni podaci prikupljaju izravno od Klijenta / Ispitanika (npr. radi sklapanja ugovora). Međutim, Društvo može osobne podatke pribaviti i od drugih fizičkih iii pravnih osoba. Na primjer, osobne podatke malodobnog Klijenta Društvu daje njegov zakonski zastupnik. Zatim, osobne podatke punomoćnika Društvu može dati opunomoćitelj putem pisane punomoći. Također, osobne podatke Klijenta Društvo može dobiti i od drugog Voditelja obrade (npr. u postupku prijenosa poslova upravljanja fondovima iii statusnoj promjeni fonda). Kada zaprimi osobne podatke Klijenta od drugih osoba, Društvo će na obradu tako dobivenih osobnih podataka primijeniti jednaka pravila kao i na obradu podataka zaprimljenih od Klijenta.

Prijenos podataka trećim osobama
Društvo neće otkrivati osobne podatke Klijenta / Ispitanika trećim osobama, osim u sljedećim slučajevima:

1. ako dobije privolu Klijenta / Ispitanika,

2. kada ju na to obvezuju zakonski propisi,

3. u slučajevima opisanim u ovim Pravilima.

U skladu s odredbama Zakona o alternativnim investicijskim fondovima, Društvo može priopćavati osobne podatke Klijenta depozitaru AIF-ova. Također, Društvo može u skladu s odredbama Zakona o alternativnim investicijskim fondovima te Zakona o tržištu kapitala, priopćavati osobne podatke Klijenta osobi koja dokaze pravni interes, pravosudnim i upravnim tijelima i drugim osobama na temelju zahtjeva i u okviru ovlaštenja u skladu s odredbama posebnog zakona.
Također, osobne podatke Društvo će otkrivati izvršiteljima obrade s kojima je sklopilo ili će sklopiti ugovore koji obuhvaćaju obradu osobnih podataka. To mogu biti ugovori radi obračuna naknade, ili ugovori kojima Društvo dio svojih aktivnosti povjerava trećim osobama, npr. ugovor o pružanju informatičkih usluga, ugovori o tiskanju i otpremi obavijesti za Klijente, ugovori o skladištenju poslovne dokumentacije, ugovori o uslugama fizičko-tehničke zaštite i sl. Društvo će takve ugovore sklapati same s izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih mjera na način da je obrada sukladna GDPR-u i da u punoj mjeri osigurava zaštitu prava Klijenta i ostalih ispitanika.
Društvo će osobne podatke dostavljati i nadležnim tijelima u skladu sa zakonskim propisima (npr. Hrvatskoj agenciji za nadzor financijskih usluga, Poreznoj upravi, sudovima i javnim bilježnicima kao povjerenicima suda, Uredu za sprječavanje pranja novca, Financijskoj agenciji i sl.).
U svakom slučaju kada prosljeđuje podatke, Društvo će zahtijevati od primatelja da postupaju u skladu s primjenjivim zakonskim obvezama zastite osobnih podataka.

Baza podataka
Osobne podatke Klijenta Društvo vodi u elektroničkoj bazi podataka (Baza podataka), u kojoj se osobni podaci obraduju (bilježe, pohranjuju, pronalaze, mijenjaju, brišu, prilagodavaju, prosljeđuju itd). Isprave o naprijed navedenim poslovnim odnosima (npr. zahtjevi za izdavanje udjela, zahtjev za otkup udjela i dr.) te isprave o registracijskim podacima potrebnim za uspostavu i vođenje poslovnog odnosa (npr. kopije identifikacijskih isprava, punomoći, javne isprave, odluke nadležnih tijela i s1.) na papiru pohranjene su u arhivi Društva, te istovremeno i u digitalnom obliku (sigurnosna kopija podataka).

Razdoblje pohrane podataka
Podaci Klijenata i Ispitanika pohranjuju se za vrijeme trajanja poslovne suradnje s Drustvom, odnosno za vrijeme dok postoji privola za obradu osobnih podataka, te za vrijeme za koje je Drustvo zakonski obvezano cuvati odredene podatke. Ako je Klijent zatrazio uslugu, a ugovor nije sklopljen, njegovi osobni podaci pohranjuju se na rok od 6 mjeseci od dana zaprimanja zahtjeva, sto se odnosi kako na podatke u programskom sustavu u kojem je zahtjev Klijenta obraden tako i na isprave dostavljene u svrhu realizacije tog zahtjeva.

Podaci prikupljeni na temelju privole pohranjuju se do trenutka kada Društvo zaprimi pisani opoziv privole Klijenta za obradu njegovih podataka u navedene svrhe, osim ukoliko se podaci Klijenta ujedno obraduju i temeljem druge pravne osnove u kojem slučaju se pohranjuju na razdoblje koje je odredeno za tu osnovu, ali se više ne koriste u svrhe za koje je privola opozvana.
Dokazi o danoj privoli (potpisana privola u elektroničkom obliku iii na papiru iii drugom trajnom mediju odnosno privola dana na internetskoj stranici Drustva) pohranjuju se do isteka krajnjeg roka za čuvanje podataka po nekom od naprijed navedenih osnova. Nakon isteka naprijed navedenih rokova: 

1. osobni podaci u Bazi podataka i programskim sustavima se anonimiziraju,

2. pohranjene isprave o poslovnim odnosima odnosno dokazi o danim privolama u fizickom obliku se izlučuju iz arhive i uništavaju odnosno ukoliko to priroda tih isprava iii propisi zahtijevaju, vraćaju Klijentu, a isprave i osobni podaci u digitalnom obliku se brišu.

Prava Klijenta i Ispitanika
U ovom poglavlju, svako spominjanje Klijenta ukljucuje i Ispitanika.

Pristup osobnim podacima
Klijent ima pravo zatraziti od Drustva informaciju obraduju Ii se njegovi osobni podaci. Ako se njegovi osobni podaci obraduju, Drustvo ce Klijentu na njegov zahtjev osigurati potvrdu o tome, koja ce sadrzavati sve osobne podatke Klijenta koji se obraduju (dalje: kopija podataka) te ce ga, ukoliko zatrazi dodatne informacije o svrsi obrade, kategorijama podataka, primateljima kojima su iii ce biti podaci preneseni, predvidenom razdoblju pohrane, pravu na ispravak iii brisanje iii ogranicavanje obrade iii pravu na prigovor, na podnosenje prituzbe nadzornom tijelu, o izvoru podataka ukoliko nisu prikupljeni od Klijenta, automatiziranom donosenju odluka (ukljucujuci profiliranje) s osnovnim podacima o profiliranju, uputiti na ova Pravila.
Kopija podataka dostavlja se Klijentu besplatno, sukladno njegovom zahtjevu, u elektronickom obliku na trajnom mediju (e-mail iii medij za pohranu podataka) iii na papiru u sjedištu Društva.

Ispravak
Klijent ima pravo zatraziti od Drustva ispravak svakog njegovog osobnog podatka za koji smatra da je netocan. Drustvo ce provesti zatrazeni ispravak odmah nakon zaprimanja zahtjeva Klijenta, potkrijepljenog izvornikom odgovarajuce isprave kojom se takav zahtjev dokazuje, ciju presliku u papirnatom i/ili digitalnom obliku je ovlasteno zadrzati. Drustvo u najvecoj mogucnoj mjeri nastoji odrzavati tocnost osobnih podataka koje obraduje.

Brisanje
Klijent moze zatraziti od Drustva brisanje njegovih osobnih podataka. Drustvo ce na zahtjev Klijenta provesti anonimizaciju njegovih podataka u Bazi podataka i/ili drugoj elektronickoj bazi ukoliko su protekli rokovi za njihovu pohranu, te ukoliko Drustvo vec ranije nije te podatke anonimiziralo u redovnom postupku. Ukoliko se radi o osobnim podacima koji se prikupljaju na temelju privole Klijenta, zahtjev Klijenta za brisanje njegovih osobnih podataka smatrat ce se povlacenjem svih privola, te ce Drustvo anonimizirati njegove podatke u Bazi podataka, ukoliko ne postoji druga pravna osnova za njihovo daljnje cuvanje.

Ograničenje obrade
Klijent ima pravo od Drustva zatraziti ogranicenje obrade u sljedecim slucajevima:

1. kada osporava tocnost podataka, dok Drustvo ne provjeri taj njegov prigovor; 2. ako se dokaze da je obrada bila protupravna, ali Klijent umjesto brisanja trazi ogranicenje obrade;

3. ako Drustvu vise nisu potrebni osobni podaci Klijenta za predvidene svrhe i nisu vec anonimizirani, a potrebni su Klijentu radi ostvarenja njegovih zahtjeva; 4. ako je Klijent podnio prigovor na obradu podataka temeljem legitimnog interesa, dok Drustvo ne potvrdi da legitimni razlozi Drustva nadilaze razloge Ispitanika.

Prenosivost podataka
Klijent ima pravo dobiti od Drustva svoje osobne podatke, kako bi ih pohranio i/ili dalje koristio za svoje osobne potrebe. Klijent takoder ima pravo i na prijenos njegovih osobnih podataka drugom voditelju obrade. U oba slucaja, Drustva ce temeljem pisanog zahtjeva Klijenta, njegove osobne podatke u strukturiranom i strojno citljivom formatu:

1. dostaviti Klijentu za osobne potrebe iii radi prijenosa drugom Voditelju, iii 2. prenijeti neposredno drugom voditelju obrade, ukoliko Klijent to izricito zatrazi, a u oba slucaja, samo ukoliko je takav prijenos tehnicki izvediv.

Predmet prijenosa mogu biti samo osobni podaci Klijenta koji se automatski obraduju u Bazi podataka. U opisanim slucajevima nakon prijenosa podataka Klijentu iii drugom voditelju obrade, Drustvo ne odgovara za obradu osobnih podataka koju provodi Klijent iii drugi voditelj, kao ni za uskladenost drugog voditelja obrade s GDPR.
Drustvo moze odbiti zahtjev Klijenta za prijenosom podataka ukoliko bi takav prijenos negativno utjecao na prava i obveze drugih Klijenata.

Prigovor
Klijent moze u svakom trenutku podnijeti prigovor na obradu njegovih podataka na temelju legitimnog interesa, ukoliko smatra da su tom obradom ugrozena njegova prava iii slobode tolikoj mjeri da, unatoc ogranicenoj obradi i mjerama sigurnosti koje se primjenjuju na obradu osobnih podataka, nadilaze legitimne interese Drustva zbog kojih se podaci obraduju.

Pritužba nadzornom tijelu
Svaki Klijent koji smatra da Drustvo obradom osobnih podataka krsi odredbe GDPR, moze podnijeti prituzbu Agenciji za zastitu osobnih podataka.

4. SIGURNOST

Društvo poduzima, primjenjuje i održava sve potrebne organizacijske i tehničke mjere za zaštitu sigurnosti osobnih podataka Klijenata od slučajnog, neovlaštenog iii protupravnog pristupa, otkrivanja, izmjene, gubitka iii uništenja, kao i svih nezakonitih oblika obrade. Društvo osigurava da osobnim podacima mogu pristupiti samo zaposlenici kojima je pristup podacima nužan za obavljanje poslova radnog mjesta i to samo u opsegu koji je nužan. Društvo redovito informira i educira zaposlenike o sigurnosnim postupcima, njihovim ulogama, ograničenjima u pristupu podacima, kao i o mogućim posljedicama povrede sigurnosnih pravila i postupaka. Društvo će redovito jednom godišnje provjeravati jesu Ii nastupili uvjeti za anonimizaciju iii brisanje osobnih podataka, te anonimizirati one osobne podatke za koje je isteklo razdoblje pohrane.

5.  ZAKLJUČNE ODREDBE

Ova Pravila imaju značenje informacija koje je Društvo kao voditelj obrade u obvezi pružiti Ispitaniku/Klijentu kada prikuplja osobne podatke od njega, kao i u slučaju da osobni podaci nisu dobiveni od Ispitanika/Klijenta, te je objavom ovih Pravila na službenoj web stranici, Društvo ispunilo obvezu informiranja Klijenta odnosno Ispitanika u smislu čl. 13. i 14. GDPR.