Politika zaštite osobnih podataka ulagatelja

Tijekom obavljanja svojih registriranih djelatnosti, SKDD obrađuje osobne podatke fizičkih osoba kao imatelja vrijednosnih papira (dalje u tekstu: ulagatelji) pri čemu postupa s posebnom pažnjom i u skladu s Općom uredbom o zaštiti podataka (EU 2016/679) – GDPR.

Osobni podaci ulagatelja obrađuju se na zakonit, pošten i transparentan način što znači da se prikupljaju zato jer je to zakonski propisano ili nužno za izvršavanje ugovorne obveze SKDD-a prema ulagatelju, i to u mjeri u kojoj je to nužno, pri čemu osobe na koje se podaci odnose uvijek mogu dobiti uvid u podatke koji se na njih odnose.

SKDD poduzima svaku razumnu mjeru radi osiguravanja da su osobni podaci točni i ažurni, a da se oni osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja isprave.

SKDD ne obrađuje posebne kategorije osobnih podataka koje se odnose na rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske i biometrijske podatke te podatke koji se odnose na zdravlje, spolni život ili seksualnu orijentaciju ulagatelja.

Na temelju prikupljenih osobnih podataka ne izrađuju se profili ulagatelja u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem ulagatelja.

Radnici SKDD-a su na jasan i nedvosmislen način obaviješteni kako su dužni s posebnom pažnjom postupati s osobnim podacima fizičkih osoba koje SKDD posjeduje te štititi informacije i osobne podatke za koje su odgovorni.

SKDD nije ovlašten osobne podatke ulagatelja otkrivati ili učiniti dostupnim drugim osobama.

Iznimno od toga, pravo uvida u prikupljene podatke imaju:

• investicijsko društvo i kreditna institucija koji pružaju usluge ulagateljima;
• izdavatelj nematerijaliziranih vrijednosnih papira za one vrijednosne papire kojih je izdavatelj;
• drugi ulagatelji u podatke o imateljima vrijednosnih papira istog izdavatelja;
• Hanfa kao nadzorno tijelo;
• pravosudna i upravna tijela poput sudova, državnog odvjetništva, Porezne uprave ili MUP-a, na temelju zahtjeva i u okviru ovlaštenja u skladu s odredbama posebnog zakona;
• osoba koja kroz odgovarajuću dokumentaciju dokaže pravni interes, primjerice u slučaju diobe bračne stečevine ili u vezi rješavanja sporova o članskim pravima u dioničkom društvu.

Nadalje, SKDD je prema odredbama Zakona o tržištu kapitala dužan na svojim internetskim stranicama objaviti i dnevno obnavljati podatke o identitetu imatelja prvih deset računa na kojima je ubilježena najveća količina bilo kojeg vrijednosnog papira i podatke o količini vrijednosnih papira na tim računima.

Svrha obrade, podaci koji se obrađuju i rokovi čuvanja

Prema odredbama Zakona o tržištu kapitala, SKDD vodi središnji depozitorij nematerijaliziranih vrijednosnih papira u kojem se, osim podataka o vrijednosnim papirima, moraju voditi i podaci o njihovim imateljima. Stoga, obrada osobnih podataka ulagatelja, odnosno imatelja vrijednosnih papira, predstavlja zakonsku obvezu SKDD-a. Osobni podaci koji se obrađuju uključuju ime, prezime, državljanstvo, OIB, datum rođenja, adresu prebivališta, dopisnu adresu, adresu oporezivanja, adresu elektroničke pošte te broj bankovnog računa odnosno IBAN ulagatelja.

Navedene podatke SKDD može prikupiti od ulagatelja prilikom otvaranja računa vrijednosnih papira, ali njih SKDD-u mogu dostaviti i izdavatelji vrijednosnih papira te investicijska društva/kreditne institucije prilikom pružanja usluga ulagateljima. S obzirom na to da je prikupljanje podataka o ulagateljima zakonska obveza SKDD-a, oni su dužni SKDD-u, odnosno izdavatelju ili investicijskom društvu/kreditnoj instituciji staviti na raspolaganje tražene podatke ako žele biti upisani kao imatelji vrijednosnih papira. Podatak o adresi elektroničke pošte vodi se samo u slučaju korištenja usluge Moj e-račun što je nužno za izvršenje ugovorne obveze SKDD-a prema ulagatelju.

Osim vođenja središnjeg depozitorija vrijednosnih papira, SKDD upravlja i sustavom poravnanja i namire transakcija vrijednosnim papirima te provodi korporativne akcije poput obračuna i isplate dividende u novcu ili obračuna i isplate kamata i glavnice za dužničke vrijednosne papire. SKDD je također ovlašten za obračun, obustavu i uplatu poreza po oporezivim primicima iz korporativnih akcija te stoga gore navedene podatke koristi i u te svrhe.

Prema odredbama Zakona o tržištu kapitala, SKDD je dužan čuvati izvornu dokumentaciju na temelju koje su obavljeni upisi najmanje pet godina, a podatke zabilježene na elektroničkim medijima trajno.

Mjere zaštite koje SKDD provodi

U svom radu SKDD primjenjuje tehničke i organizacijske sigurnosne mjere kojima se sprječava neovlašteni pristup osobnim podacima, neovlaštena uporaba osobnih podataka ili njihova nezakonita obrada, slučajni gubitak osobnih podataka, njihovo oštećenje ili uništenje, neovlaštena promjena osobnih podataka te svaka druga zlouporaba, a koje uključuju:

• pristup lokacijama na kojima je smještena procesna oprema ograničen je samo na ovlašteno osoblje;
• računalna mreža SKDD-a zaštićena je od neovlaštenog pristupa pomoću vatrozida koji se nalazi između računalne mreže SKDD-a i Interneta;
• računala SKDD-a zaštićena su od malicioznog softvera pomoću antivirusnog alata koji se redovito ažurira;
• elektronička pošta SKDD-a se pomoću softvera štiti od neželjenih poruka;
• prava pristupa osobnim podacima dodjeljuju se isključivo kroz mehanizam koji osigurava poslovnu opravdanost dodijeljenih prava pristupa (formalno odobravanje zahtjeva za pristup, promjene prava pristupa u slučaju promjene radnog mjesta te ukidanje prava pristupa sukladno proceduri);
• korisnički računi i ovlasti za pristup informacijskim sustavima redovito se pregledavaju te ažuriraju sukladno stvarnim poslovnim potrebama;
• logovi pristupa infrastrukturnoj opremi (serverima, vatrozidima…) sadrže informacije o osobi koja je provela aktivnost, vrijeme i podatke o računalu s kojeg je aktivnost inicirana;
• logovi se čuvaju i analiziraju u sigurnoj bazi podataka kojoj pristup imaju samo ovlaštene osobe i u kojoj logove nije moguće mijenjati;
• ponašanje korisnika i sustava koji pristupaju IT infrastrukturi (npr. VPN konekcije) se nadzire;
• vodi se i redovito ažurira popis osoba ovlaštenih za pristup IT infrastrukturi;
• mrežna i serverska oprema redovito se održava u skladu s naputcima proizvođača te je smještena u područja s osiguranim rezervnim napajanjem, klimatizacijom, gašenjem i zaštitom od vlage;
• uspostavljene su zaštitne mjere za zaštitu informacijskog sustava od neovlaštenog udaljenog pristupa s izgubljenog ili ukradenog uređaja (npr. procedura ukidanja korisničkog računa, VPN pristupa …);
• uspostavljene su zaštitne mjere za zaštitu informacijskog sustava od udaljenog pristupa; redovito se ažuriraju komunikacijski protokoli, enkripcijski algoritmi i duljina ključeva u skladu s identificiranim ranjivostima;
• spostavljen je i redovito se testira plan oporavka sustava u slučaju katastrofe; prilikom pohrane podataka, osobni se podaci pohranjuju na najmanjem mogućem broju mjesta na kojima moraju biti primjereno zaštićeni; nepotrebne papirnate kopije i ispisi osobnih podataka uništavaju se korištenjem uređaja za uništavanje papira.

Nadalje, u SKDD-u je na snazi i poseban Pravilnik o poslovnoj tajni prema kojem svi radnici SKDD-a, članovi Uprave i Nadzornog odbora SKDD-a, drugih organa SKDD-a kao i vanjski suradnici koji na bilo koji način saznaju za podatke i isprave koji se smatraju poslovnom tajnom, a koji uključuju i podatke o ulagateljima, imaju obvezu čuvanja poslovne tajne.

Prava ulagatelja

a) Pravo na pristup

Ulagatelj od SKDD-a ima pravo dobiti informaciju o tome koji se osobni podaci u odnosu na njega obrađuju i u koju svrhu, kao i o primateljima osobnih podataka, razdoblju pohrane te njihovom izvoru.

Ulagatelj nadalje ima pravo od SKDD-a dobiti informaciju o pravu na ispravak, brisanje, ograničavanje obrade te podnošenju prigovora na obradu ili pritužbe nadzornom tijelu.

b) Pravo na ispravak

U slučaju netočnih podataka, od SKDD-a se može zatražiti odgovarajući ispravak, a u slučaju nepotpunosti, njihova dopuna. SKDD je ulagatelju dužan priopćiti svaki ispravak podataka, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor.

Svoje pravo na pristup osobnim podacima i pravo na ispravak osobnih podataka ulagatelji mogu ostvariti:

• putem usluge Moj e-račun;
• porukom elektroničke pošte na adresu ulagatelji@skdd.hr;
• pozivom na telefonski broj + 385 1 4607300; osobnim dolaskom u ured za stranke SKDD-a na adresi u Zagrebu, Heinzelova 62a;
• dostavom pisanog zahtjeva na adresu:
  SKDD d.d.
  Heinzelova 62a
  10002 Zagreb

c) Pravo na brisanje

Općom uredbom o zaštiti podataka (EU 2016/679) – GDPR, propisano je i pravo na brisanje osobnih podataka, ali se ono ne primjenjuje kad je obrada osobnih podataka posljedica zakonske obveze.

d) Pravo na ograničenje obrade

U određenim slučajevima ulagatelji od SKDD-a mogu zatražiti ograničenje obrade osobnih podataka, i to:

• kad se osporava točnost osobnih podataka, za razdoblje potrebno za njihovu provjeru; kad je obrada nezakonita, a ulagatelj se protivi brisanju;
• kad SKDD više ne treba osobne podatke za potrebe obrade, ali ih ulagatelj traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
• kad je ulagatelj uložio prigovor na obradu.

Ako ulagatelj uspije ishoditi ograničenje obrade, SKDD ga je dužan obavijestiti o postavljanju i o ukidanju tog ograničenja.

Svoje pravo na brisanje i ograničenje obrade ulagatelj može ostvariti na sljedeći način:

• porukom elektroničke pošte na adresu szop@skdd.hr;
• pozivom na telefonski broj + 385 1 4607346;
• osobnim dolaskom u ured za stranke SKDD-a na adresi u Zagrebu, Heinzelova 62a;
• dostavom pisanog zahtjeva na adresu:
  SKDD d.d.
  n/p Službenik za zaštitu podataka
  Heinzelova 62a
  10002 Zagreb

e) Pravo na pritužbu

Na odluku SKDD-a kojom se odlučuje o nekom od prava vezanih za zaštitu osobnih podataka moguće je uložiti pritužbu Agenciji za zaštitu osobnih podataka sa sjedištem u Zagrebu.

S obzirom na moguće izmjene u zakonskoj regulativi predlažemo da povremeno provjerite sadržaje ove Politike zaštite osobnih podataka ulagatelja.