Politika Privatnosti
1. UVODNE ODREDBE
Platforma “Crumbs” obrađuje osobne podatke svojih korisnika te poštuje privatnost i sigurnost osobnih podataka, a u ovoj politici možete pronaći informacije o načinu i svrsi prikupljanja Vaših osobnih podataka, njihovom korištenju i dijeljenju, kao i o postupku njihove zaštite i čuvanja, a posebno vaša prava u vezi s navedenim, a sve u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka – GDPR) te u skladu s drugim propisima iz područja zaštite osobnih podataka na snazi u Republici Hrvatskoj.
Voditelj obrade koristi podatke Korisnika u skladu s ovom Politikom privatnosti, te se obvezuje čuvati privatnost svih Korisnika, prikupljati samo nužne osobne podatke Korisnika, odnosno podatke nužne za rad Platforme, ispunjavanje ugovornih obveza, informiranje Korisnika u skladu s običajima dobre poslovne prakse te u svrhu pružanja kvalitetne usluge.
Molimo Vas da pažljivo pročitate ovu Politiku privatnosti prije nego što počnete koristiti našu Platformu, budući da se njezinim početkom korištenja smatra da ste pročitali, razumjeli i prihvatili uvjete ovog akta prema kojem štitimo i obrađujemo Vaše osobne podatke.
Politika privatnosti izrađena je u skladu s pravilima propisanom GDPR Uredbom, a na sve što nije regulirano vrijede pravila Uredbe, te u slučaju odstupanja od odredaba ovog akta imaju se izravno primjenjivati odredbe Uredbe i drugih propisa iz područja zaštite osobnih podataka.
2. VODITELJ OBRADE
Voditelj obrade podataka i vlasnik Platforme (web stranice www.crumbs.hr, te Android i IOS aplikacije „Crumbs“) je društvo Crumbs Technology d.o.o., Trg Žrtava Fašizma 1, 10000 Zagreb, upisano u sudski registar Trgovačkog suda u Zagrebu pod brojem MB: 05322545, OIB 43800037093 e-mail adresa: info@staging15.crumbs.hr, web stranica: www.crumbs.hr, Radno vrijeme: Ponedeljak – Petak 09:00 – 17:00.
Radi zaštite svojih prava i ostvarivanja drugih interesa korisnici se mogu obratiti i osobi ovlaštenoj za zaštitu osobnih podataka na sljedeće kontakt podatke:
E-mail: info@staging15.crumbs.hr
3. POJMOVI I DEFINICIJE
Određeni pojmovi i definicije započeti velikim slovom imaju identično značenje kao u Općim uvjetima korištenja Platforme “Crumbs”, ako u ovoj Politici privatnosti nije izričito drugačije određeno.
Pojedini izrazi u ovoj Politici privatnosti imaju sljedeće značenje:
„osobni podatak“ je svaki podatak koji se odnosi na fizičku osobu čiji je identitet utvrđen ili utvrdiv, neposredno ili neizravno, osobito na temelju oznake identiteta, kao što su ime i identifikacijski broj, podaci o lokaciji, identifikatori u elektroničkim komunikacijskim mrežama ili jedno ili više obilježja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta; “ispitanik” je fizička osoba čiji se osobni podaci obrađuju; “obrada osobnih podataka” je svaka radnja ili skup radnji koje se izvršavaju automatski ili neautomatski s osobnim podacima ili njihovim skupovima, kao što je prikupljanje, snimanje, klasificiranje, grupiranje, tj. strukturiranje, pohranjivanje, prilagođavanje ili mijenjanje, otkrivanje, pregledavanje, korištenje, otkrivanje prijenosom, tj. dostavljanje, umnožavanje, širenje ili na drugi način stavljanje na raspolaganje, uspoređivanje, ograničavanje, brisanje ili uništenje (u daljnjem tekstu: obrada); „izvršitelj obrade“ je fizička ili pravna osoba, odnosno tijelo koje obrađuje osobne podatke u ime voditelja obrade; „primatelj“ je fizička ili pravna osoba, odnosno tijelo kojem su osobni podaci priopćeni, neovisno o tome da li se radi o trećoj osobi ili ne, osim u slučaju da se radi o tijelima koja sukladno zakonu primaju osobne podatke u okviru istrage konkretnog slučaja i obrađuju te podatke sukladno pravilima o zaštiti osobnih podataka vezano uz svrhu obrade; „treća strana“ je fizička ili pravna osoba, odnosno tijelo javne vlasti, a koja nije osoba na koju se podaci odnose, voditelj ili izvršitelj obrade, kao ni osoba koja je ovlaštena za obradu osobnih podataka pod neposrednim nadzorom voditelja obrade ili izvršitelja obrade; “privola” ispitanika je svaki dobrovoljni, specifičan, informiran i nedvosmislen izraz volje kojim ta osoba izjavom ili jasnom potvrdnom radnjom daje privolu za obradu osobnih podataka koji se na nju odnose; “povreda osobnih podataka” je povreda sigurnosti osobnih podataka koja rezultira slučajnim ili nezakonitim uništenjem gubitkom, izmjenom, neovlaštenim otkrivanjem ili pristupom osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađeni; „osjetljivi podaci“ odnose se na podatke koji otkrivaju rasno ili etničko podrijetlo, političko mišljenje, vjerska ili filozofska uvjerenja ili sindikalno članstvo, kao i obradu genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije osobe, podatke o zdravstvenom stanju odnosno podatke o spolnom životu ili spolnoj orijentaciji fizičke osobe.
4. NAČELA ZAŠTITE OSOBNIH PODATAKA
Osobni podaci, sukladno važećim propisima, moraju:
biti obrađeni zakonito, pošteno i transparentno u odnosu na osobu na koju se podaci odnose („zakonitost, poštenje i transparentnost“); biti prikupljeni u svrhe koje su posebno određene, izričite, opravdane i zakonite, a ipak se ne mogu obrađivati na način koji nije u skladu s tim svrhama („ograničenje u odnosu na svrhu obrade“); biti prikladni, bitni i ograničeni na ono što je potrebno u odnosu na svrhu obrade (“minimizacija prikupljanja podataka”); biti točni i, ako je potrebno, ažurirani te uzimajući u obzir svrhu obrade, moraju se poduzeti sve razumne mjere kako bi se osiguralo da se netočni osobni podaci brišu ili isprave bez odgode („točnost“); biti pohranjeni u obliku koji omogućuje identifikaciju osobe samo onoliko koliko je potrebno za postizanje svrhe obrade („ograničenje pohrane“); biti obrađivani na način koji osigurava odgovarajuću zaštitu osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih, organizacijskih i kadrovskih mjera („integritet i povjerljivost“).
5. OSOBNI PODACI KOJI SE OBRAĐUJU
Osobni podaci koje prikupljamo, obrađujemo i pohranjujemo, a dobiveni su izravno od Korisnika Platforme tijekom korištenja su:
ime i prezime; e-mail adresa; adresa (država, grad, kućni broj); poštanski broj; broj telefona; informacije o lokaciji; spol; datum rođenja. Voditelj obrade ne prikuplja vaše Osjetljive podatke, osim u slučaju kada ih Korisnik dobrovoljno stavi na raspolaganje ili u slučaju takve obveze Voditelja obrade sukladno važećim propisima.
Voditelj obrade od Korisnika koji podnose prigovor prikuplja i obrađuje sljedeće podatke:
datum zaprimanja prigovora; datum izdavanja potvrde o primitku prigovora; broj potvrde o primitku prigovora; ime i prezime; broj naloga; e-mail adresa; broj telefona; adresa stanovanja; vlastoručni potpis; oznaka artikla; datum kupnje; cijena artikla; odluku o odgovoru Korisniku i datum dostave tog odgovora Korisniku; rokovi za odlučivanje o prigovoru; način i datum rješavanja prigovora; tekući račun; naziv banke; opis i razlog prigovora. Voditelj obrade prikuplja i obrađuje neke od sljedećih podataka, odnosno sljedeće podatke Korisnika:
podaci prikupljeni iz internetskog preglednika Korisnika, vrijeme i način korištenja Platforme, podaci o kreiranim nalozima i pretragama unutar Platforme, uređaj i identifikacijski broj uređaja, IMEI broj uređaja, država, davatelja internetskih usluga. U svrhu poboljšanja Platforme na našoj web stranici, te poboljšanja korisničkog iskustva prilikom pregledavanja web stranice, Voditelj obrade prikuplja analitičke i druge podatke iz internetskog preglednika Korisnika, odnosno kolačiće.
Kolačići su digitalni zapisi pohranjeni na vašem uređaju koji nam omogućuju identifikaciju i pružanje dodatnih informacija o Korisniku Platforme. Kolačići neće oštetiti vaš uređaj ili dokumente i služe za prilagodbu i poboljšanje korisničkog iskustva prema vašim osobnim preferencijama.
Korisnici mogu podesiti svoj internet preglednik da odbija kolačiće, odnosno da upozorava na slanje kolačića, ali navedene postavke mogu utjecati na pravilan rad pojedinih dijelova Platforme.
Voditelj obrade prikuplja neke od sljedećih podataka s internetskog preglednika Korisnika, odnosno sljedeće podatke:
vrijeme i način korištenja Platforme, podaci o kreiranim nalozima i pretragama unutar Platforme; vrsta i verzija preglednika; korišten operativni sustav; Javascript aktivacija; uključivanje/isključivanje kolačića; referentni URL – prethodna i sljedeća posjećena stranica; IP adresa; država; vrijeme pristupa; klikovi; sadržaj popunjenih obrazaca; naziv uređaja, klasa i identifikacijski broj uređaja; naziv davatelja internetskih usluga i geografski podaci; identifikatore oglašavanja na vašem uređaju; identifikatore posjeta. Platforma koristi “Google analytics” i druge usluge internetske analitike za prikupljanje statističkih i analitičkih podataka i izvješća o korištenju posjetitelja te nam pomaže poboljšati vaše korisničko iskustvo. Ovu uslugu možete isključiti u postavkama Vašeg internet preglednika.
6. SVRHA I TEMELJ OBRADE OSOBNIH PODATAKA
Voditelj obrade obrađuje podatke navedene u prethodnoj odredbi ovog akta:
na temelju sklopljenog ugovora – Općih uvjetima korištenja Platforme, u svrhu ostvarivanja i ispunjavanja ugovornih prava i obveza između Voditelja obrade i Korisnika; na temelju izričite privole Korisnika Platforme, koju Korisnik daje u posebnom obrascu ili u zaključnoj radnji iz koje proizlazi da Korisnik pristaje na određenu obradu; na temelju legitimnog interesa u skladu s propisima; na temelju zakonske obveze radi poštivanja propisanih obveza Voditelja obrade; na drugom temelju obrade predviđenom propisima prema kojima je Voditelj obrade dužan prikupljati, čuvati i obrađivati podatke Korisnika; radi ispunjavanje obveza Voditelja obrade vezano za podatke koji se odnose na prijavljenu reklamaciju od strane Korisnika; radi slanja kontrolnog koda prilikom registracije računa ili promjene koda za postojeći račun (informacije o e-mail adresi); radi davanje informacija i odgovora na upite ili zahtjeve Ispitaniku koji je uputio upit Voditelju obrade; radi vođenje izvansudskih sporova u skladu s propisima, a povodom pokrenutog izvansudskog spora od strane Ispitanika koji podnosi prigovor i čiji je zahtjev za prigovor odbijen; vođenje sudskih sporova sukladno propisima, naplatu potraživanja i sudskih postupaka, posebice u vezi sa zaštitom podataka, sustava i mreže Platforme, kao i zaštite od prijevare, zlouporabe te radi obavještavanja Primatelja obavijesti koji je dao privolu za primanje telefonskog poziva ili elektroničke poruke u svrhu primanja informacija od Voditelja obrade o promotivnim ponudama i drugim informacijama vezanim uz uslugu Voditelja obrade; u druge svrhe za koje je Korisnik dao privolu, osim ako privola nije povučena u skladu s propisima i ovom Politikom privatnosti ili u druge svrhe u skladu s propisima. Ako je obrada osobnih podataka izvršena u svrhu koja se razlikuje od svrhe za koju su podaci prikupljeni, a nije utemeljena na propisima ili na privoli Ispitanika, Voditelj obrade, uz poštivanje odgovarajućih sigurnosnih mjera, procjenjuje je li ta druga svrha obrade u skladu sa svrhom obrade za koju su podaci prikupljeni.
Voditelj obrade dužan je stalnom primjenom odgovarajućih tehničkih, organizacijskih i kadrovskih mjera osigurati da se uvijek obrađuju samo oni osobni podaci koji su nužni za postizanje svake pojedine svrhe obrade, a koja se primjenjuje u odnosu na količinu prikupljenih podataka, opseg njihove obrade, rok njihove pohrane i njihovu dostupnost.
Platforma može obrađivati podatke o vašem iskustvu prilikom korištenja u svrhu poboljšanja kvalitete usluga. Platforma će navedene podatke koristiti kao zbirne podatke svih Korisnika po mogućnosti bez podataka na temelju kojih se može identificirati pojedina osoba. Platforma obrađuje Vaše osobne podatke u svrhu ispunjavanja ugovornih obveza prema Vama i usklađivanja poslovanja sa zakonskim obvezama. Svrha obrade Vaših osobnih podataka je upravljanje, održavanje i razvoj u svrhu postizanja najboljeg mogućeg korisničkog iskustva Platforme.
7. PRIVOLA ZA OBRADU OSOBNIH PODATAKA
Privola Korisnik daje na posebnom obrascu, s jasnim i istaknutim naslovom „Privola“, odnosno drugim naslovom koji nedvojbeno označava da se radi o privoli za obradu osobnih podataka, a njen sadržaj je opisan na informiran, transparentan način, razumljivo, dostupno, jasnim i jednostavnim riječima na način određen propisima o zaštiti osobnih podataka.
Korisnik nije uvjetovan davanjem privole radi pružanja usluge ili dijela usluge za čije izvršenje nije potrebna privola, te se ista smatra dobrovoljnom, osim ako nije moguće omogućiti Korisniku da ostvari svoj zahtjev bez obrade podataka za koju se traži privola.
Korisnik ima pravo opozvati privolu u bilo kojem trenutku. Opoziv privole ne utječe na dopuštenost obrade koja se na temelju privole provodila prije opoziva. Prije davanja privole, Ispitanik mora biti upoznat s pravom na opoziv, kao i učinkom opoziva. Povlačenje privole mora biti jednako jednostavno kao i davanje privole.
Na temelju privole obrađuju se e-mail adresa i telefonski broj Korisnika u svrhu informiranja o aktivnostima Platforme, pogodnostima koje nudi Platforma i izravnog oglašavanja, a privola za predmetnu obradu daje se elektroničkim putem u polju predviđeno za to.
8. OBAVIJEST U REKLAMNE SVRHE
Voditelj obrade može Korisnicima Platforme slati obavijesti o novostima, pogodnostima ili akcijama u pružanju usluga, na temelju izričitog pristanka primatelja obavijesti. Navedeno se može učiniti telefonom ili slanjem elektroničke poruke na e-mail adresu primatelja.
Primatelj obavijesti može se u svakom trenutku odjaviti od daljnjeg primanja obavijesti podnošenjem zahtjeva za obustavu primanja obavijesti, koji mora biti jasno iskazan kako prilikom davanja suglasnosti za primanje obavijesti tako i prilikom svake poslane obavijesti. Odjava od daljnjeg primanja obavijesti ne utječe na dopuštenost obrade koja je provedena prije podnošenja zahtjeva za obustavu primanja obavijesti.
9. PRAVA KORISNIKA
Pravo na informiranost i pravo na pristup informacijama – Voditelj obrade je dužan na zahtjev Korisnika pružiti sljedeće podatke na sažet, transparentan, razumljiv i lako dostupan način, jasnim i jednostavnim riječima:
identitet i kontakt podatke Voditelja obrade i zaposlenika ili druge osobe angažirane od strane Voditelja obrade koja je odgovorna za obradu; svrhu namjeravane obrade i pravni temelj obrade; postojanje legitimnog interesa Voditelja obrade ili treće strane, ako je temelj obrade legitimni interes; podatke o primatelju, odnosno skupini primatelja osobnih podataka, ako postoje; na činjenicu da Voditelj obrade namjerava prenijeti osobne podatke u drugu državu ili međunarodnu organizaciju; razdoblje pohrane osobnih podataka ili, ako to nije moguće, kriterije za njegovo određivanje; postojanje prava na zahtjev za pristup, ispravak ili brisanje osobnih podataka od Voditelja obrade, odnosno postojanje prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka; postojanje prava na opoziv privole u bilo kojem trenutku, kao i činjenicu da opoziv privole ne utječe na dopuštenost obrade na temelju privole prije opoziva; pravo na podnošenje prigovora Nadzornom tijelu; je li davanje osobnih podataka zakonska ili ugovorna obveza ili je davanje podataka nužan uvjet za sklapanje ugovora, kao i ima li osoba na koju se podaci odnose obvezu davanja osobnih podataka i moguće posljedice ako podaci nisu navedeni; postojanje automatiziranog donošenja odluka, uključujući profiliranje, ako Voditelj obrade provodi takvu obradu. Voditelj obrade je dužan odgovoriti na zahtjev Korisnika u roku od 30 dana, s tim da se taj rok po potrebi može produžiti za još 60 dana, uzimajući u obzir složenost i broj zahtjeva. Voditelj obrade je dužan obavijestiti Korisnika o produljenju roka i razlozima tog produljenja u roku od 30 dana od dana primitka zahtjeva, a ukoliko je Korisnik podnio zahtjev elektroničkim putem, informaciju mora dostaviti elektroničkim putem ukoliko je to moguće.
Korisnik ima pravo na ispravak ili dopunu svojih netočnih osobnih podataka bez odgode. Ovisno o svrsi obrade, Korisnik ima pravo na dopunu svojih nepotpunih osobnih podataka, što uključuje i davanje dodatne izjave.
Ukoliko je ispravak moguće izvršiti ispravkom, brisanjem i unosom drugačijih podataka od strane Korisnika, isti će ispravak izvršiti samostalno ili će navedeno izvršiti Voditelj obrade na izričit zahtjev Korisnika.
Korisnik ima pravo od Voditelja obrade tražiti ograničenje obrade podataka koji se na njega odnose, ako je obrada nezakonita, ako se ukazuje na netočnost podataka, ako je podnesen prigovor na obradu sukladno Zakonu, kao i iz drugih zakonskih razloga.
Ukoliko su ispunjeni zakonski uvjeti, Voditelj obrade je dužan bez nepotrebnog odgađanja na zahtjev Korisnika izbrisati osobne podatke Korisnika ukoliko više nisu nužni za svrhu za koju su prikupljeni ili na drugi način obrađeni; ukoliko je Korisnik opozvao privolu za obradu ili podnio prigovor, a ne postoji druga pravna osnova za nastavak obrade u skladu s propisima, te ako je obrada osobnih podataka bila nezakonita kao i u slučaju postojanja takve zakonske obveze Voditelja obrade.
Korisnik ima pravo Voditelju obrade u svakom trenutku podnijeti prigovor na obradu njegovih osobnih podataka koja se provodi na temelju privole, a Voditelj obrade je dužan prekinuti obradu podataka, osim ako nije obavijestio Korisnika o postojanju pravnih razloga za obradu koji prevladavaju nad interesima i pravima tog Korisnika.
10. POHRANA OSOBNIH PODATAKA
Osobni podaci Korisnika pohranjeni su u elektroničkom obliku na poslužitelju i osigurani su SSL certifikatom, a Voditelj obrade ima pristup središnjoj bazi podataka koja se nalazi na prethodno navedenom poslužitelju i u središnjoj bazi podataka Voditelja obrade, te je osiguran odgovarajućim organizacijskim i tehničkim mjerama. Podaci u elektroničkom obliku pohranjuju se posebno na glavnom poslužitelju koji zadovoljava visoke standarde informatičke sigurnosti. Pristup podacima dopušten je samo ograničenom broju osoba koje su zaposlene kod Voditelja obrade, a koje imaju ovlast ili obvezu pristupa istim resursima te održavaju sustav u stanju funkcionalnosti i odgovarajuće razine zaštite.
Unutar društva Voditelja obrade pristup podacima imaju samo one organizacijske jedinice, odnosno zaposlenici kojima su isti potrebni za ispunjenje svrhe za koju su osobni podaci prikupljeni, a koji su ovlašteni pristupiti i obrađivati podatke Korisnika.
11. PRISTUP PODACIMA OD STRANE TREĆIH OSOBA
Voditelj obrade je ovlašten koristiti usluge trećih osoba za potrebe ispunjavanja obveza iz Općih uvjeta korištenja, obavljanja platnog prometa, zakonskih obveza, održavanja usluge, unaprjeđenja rada, i to usluge naših povezanih osoba na području Republike Hrvatske, svojih zaposlenika, Partnera čiju ste robu kupili na Platformi, marketinških agencija, komunikacijskih agencija ili agencija za istraživanje tržišta ili zadovoljstva kupaca, pružateljima IT usluga, državnim tijelima. Osim toga, kako bismo omogućili funkcioniranje Platforme, angažiramo druga društva i pojedince za obavljanje poslova za naš račun (slanje pošte i e-pošte, uklanjanje podataka s popisa Korisnika, pružanje marketinških usluga, pozivni centar, pružatelji usluga plaćanja, računovodstveni servisi, te drugi vanjski i unutarnji suradnici) za čiji rad i rezultate odgovara sukladno propisima.
Voditelj obrade jamči da će Izvršitelj obrade provesti potrebne tehničke, organizacijske i kadrovske mjere, kako bi se obrada odvijala u skladu s propisima i osigurala odgovarajuća zaštitu osobnih podataka Korisnika.
Voditelj obrade s Izvršiteljima obrade sklapa ugovor o obradi podataka koji može biti sastavni ili popratni dio temeljnog ugovora, a koji sadrži sve potrebne elemente predviđene propisima.
Vaše osobne podatke nećemo učiniti dostupnima drugim primateljima, odnosno trećim stranama, osim u slučajevima navedenim u ovoj Politici privatnosti.
12. SIGURNOST PODATAKA
Pri ocjeni potrebne razine uspostavljene sigurnosti osobnih podataka Voditelj obrade uzima u obzir i prati razinu tehnoloških dostignuća kao i troškove njihove primjene, zatim prirodu, opseg, okolnosti i svrhu obrade podataka te na temelju tih parametara ocjenjuje vjerojatnost nastanka rizika, odnosno potencijalnu razinu rizika za prava i slobode Korisnika.
Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere u svrhu postizanja potrebne razine zaštite od rizika uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa podacima Korisnika.
Prilikom slanja osobnih podataka Izvršitelju obrade, Voditelj obrade je dužan osigurati siguran komunikacijski kanal kojim podaci putuju, kao i pobrinuti se da podaci budu sigurno pohranjeni uz odgovarajuće sigurnosne standarde.
Voditelj obrade uvijek kada je to moguće provodi pseudonimizaciju baze podataka i primjenu suvremenih metoda zaštite i kontrole pristupa izvornim podacima koji sadrže osobne podatke, ograničenje pristupa Osjetljivim podacima kao i ograničenje korisničkih računa koji mogu imati pristup određene podatke, uvođenjem sustava uloga i ovlaštenja koji će osigurati da pojedini zaposlenici Voditelja obrade kojima je potreban pristup podacima za obavljanje radnih zadataka mogu imati uvid i obrađivati odgovarajuće podatke.
Svi podaci o Korisnicima strogo se čuvaju i dostupni su samo djelatnicima Voditelja obrade kojima su podaci nužni za obavljanje posla, a Voditelj obrade je odgovoran za poštivanje načela zaštite osobnih podataka, sukladno ovoj Politici privatnosti.
Podaci o Korisnicima koji su izvršili kupnju odnosno zadali narudžbu pohranjuju se na sigurnim poslužiteljima koji su zaštićeni lozinkom i vatrozidom. Sve elektroničke transakcije vezane uz kupnju putem Platforme Voditelja obrade bit će šifrirane korištenjem SSL tehnologije.
Osobni podaci Korisnika usluge dani Voditelju obrade tijekom procesa kupnje smatraju se poslovnom tajnom, te je Voditelju obrade zabranjeno prodavati, naručivati, dostavljati ili razmjenjivati takve podatke Korisnika u bilo kojem obliku trećoj strani, osim ako je u pitanju banka ili nadležna državna tijela.
Kada je u pitanju sigurnost povjerljivih podataka Korisnika prilikom plaćanja platnim karticama, kako je navedeno u Općim uvjetima poslovanja, Voditelj obrade koristi usluge platforme Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland, www.stripe.com, koja koristi najviše standarde zaštite podataka i privatnosti.
Određene osobne podatke (ime, prezime, adresa stanovanja) otkrivamo pružateljima platnih usluga – banci i Instituciji koja pruža platne usluge, koji na temelju ugovora s Platformom pružaju usluge u procesu plaćanja na Platformi i realizaciji plaćanja: Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland, www.stripe.com, (Institucija) radi realizacije platne transakcije i povrata sredstava Korisniku. Prihvaćanjem ovih Pravila privatnosti Korisnik se obvezuje da će navedene osobne podatke dostaviti Banci i Instituciji, koji osobne podatke mogu obrađivati isključivo u svrhu obavljanja platne transakcije i povrata sredstava Korisniku, te u svrhu usklađenja s zakonskim i drugim propisima, posebice onima koji uređuju poslovanje pružatelja platnih usluga, što uključuje obvezu izvješćivanja državnog tijela, provjeru Korisnika s aspekta sprječavanja pranja novca i financiranja terorizma te upravljanja rizicima.
Također, Banka i Institucija, u postupku rješavanja prigovora Korisnika u vezi s platnom transakcijom, obrađuju podatke koje Voditelj obrade prikuplja i obrađuje od Korisnika koji izjavljuje prigovor, sukladno točki 5. Ove Politike privatnosti.
Voditelj obrade štiti Korisnika na način da se prilikom unosa podataka o platnoj kartici povjerljivi podaci prenose putem javne mreže u zaštićenom (kriptiranom) obliku korištenjem SSL protokola. Sigurnost podataka pri kupnji jamči pružatelj platnih usluga.
Osobni podaci moraju biti primjereni, bitni i ograničeni na ono što je potrebno u odnosu na svrhu obrade, biti točni i, ako i kada je potrebno, ažurirani. Pružatelj platnih usluga poduzet će sve razumne korake kako bi osigurao da se netočni osobni podaci izbrišu ili isprave bez odlaganja. Osobni podaci bit će pohranjeni u obliku koji omogućuje identifikaciju osobe samo onoliko koliko je potrebno za postizanje svrhe pohrane. Obrada osobnih podataka provodit će se na način koji osigurava odgovarajuću zaštitu osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja, primjenom odgovarajućih tehničkih, organizacijskih i kadrovskih mjera.
Podaci o platnoj kartici nisu dostupni Voditelju obrade niti u jednom trenutku transakcije.
13. POSTUPAK PO POVREDI OSOBNIH PODATAKA
Ukoliko postoji prijetnja podacima i sigurnosti, Voditelj obrade će poduzeti sve potrebne mjere obavještavanja i zaštite predviđene propisima, uključujući obavještavanje nadležnog Nadzornog tijela, kao i Korisnika ako su ispunjeni uvjeti iz Politike privatnosti i propisa o zaštiti osobnih podataka.
U slučaju povrede osobnih podataka, Voditelj obrade dužan je bez nepotrebnog odgađanja, a najkasnije u roku od 72 sata od saznanja za povredu, obavijestiti Nadzorno tijelo o povredi, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. U slučaju nepostupanja u određenom roku, Upravitelj će objasniti razloge kašnjenja.
Obavijest Voditelja obrade nadzornom tijelu mora sadržavati najmanje sljedeće:
opis prirode povrede osobnih podataka, uključujući vrste podataka i približan broj osoba na koje se ta vrsta podataka odnosi, kao i približan broj osobnih podataka čija je sigurnost povrijeđena; ime i kontakt osobe za zaštitu osobnih podataka ili podatke o drugom načinu na koji se mogu dobiti podaci o ozljedi; opis mogućih posljedica povrede; opis mjera koje je operater poduzeo ili koje je predložio u vezi s povredom, uključujući mjere poduzete za smanjenje štetnih posljedica. dokumentaciju o svakoj povredi osobnih podataka, uključujući činjenice povrede, njezine posljedice i mjere poduzete za njihovo otklanjanje. Voditelj obrade nije dužan obavijestiti Korisnika ako:
je poduzeo odgovarajuće tehničke i organizacijske mjere zaštite u odnosu na osobne podatke čija je sigurnost narušena; je naknadno poduzeo mjere da povreda osobnih podataka s visokim rizikom za prava i slobode osobe na koju se podaci odnose više ne može proizvoditi posljedice za tu osobu; bi obavještavanje osobe na koju se podaci odnose predstavljalo nerazmjeran utrošak vremena i sredstava, u kojem slučaju je Voditelj obrade dužan o tome obavijestiti osobu na koju se podaci odnose putem javne obavijesti ili na drugi učinkovit način. Ukoliko Korisnik sazna za bilo koji događaj koji je doveo ili može dovesti do ugrožavanja njegovih osobnih podataka ili osobnih podataka trećih osoba, dužan je o tome bez odgađanja obavijestiti Voditelja obrade putem kontakata navedenih u ovom dokumentu.
14. VRIJEME POHRANE PODATAKA I NJIHOVO BRISANJE
Podaci se čuvaju onoliko dugo koliko je potrebno za svrhu za koju se obrađuju, osim u slučaju kada je temelj za prikupljanje tih podataka privola Korisnika.
U slučaju kada je temelj prikupljanja podataka o Korisniku njegova privola, ti će se podaci čuvati do opoziva privole.
Voditelj obrade neće pristupiti brisanju podataka koji se odnose na određenog Korisnika, koji nije ispunio svoje ugovorne obveze prema Voditelju obrade, ili ako Voditelj obrade ima pravo ili obvezu prema važećim propisima pohraniti određene podatke o Korisniku sukladno propisima i u roku do ispunjenja zakonske obveze, odnosno postojanja legitimnog interesa, ali ne dulje od zakonom propisanog roka čuvanja podataka, odnosno 3 godine u slučaju postojanja legitimnog interesa.
Voditelj obrade će podatke Korisnika primatelja obavijesti koji su dali izričitu privolu za obradu i pohranjivanje podataka čuvati u svrhu informiranja o novostima i promotivnim ponudama.
Podaci prikupljeni iz upita u kontakt obrascu Platforme, putem e-maila ili telefona, brišu se ili anonimiziraju najkasnije godinu dana nakon prosljeđivanja konačnog odgovora od strane Voditelja obrade.
Vrijeme pohrane za svaku pojedinu kategoriju osobnih podataka navedeno je u evidenciji obrade osobnih podataka Korisnika.
15. EVIDENCIJA AKTIVNOSTI OBRADE OSOBNIH PODATAKA
Voditelj obrade vodi evidenciju obrade osobnih podataka Korisnika ovih Pravila privatnosti i osobnih podataka, kao i evidenciju izvansudskih sporova Korisnika koji je podnio zahtjev za prigovor i čiji je zahtjev odbijen, u elektroničkom obliku i s trajnom pohranom.
Osim naziva i poslovnih podataka Voditelja obrade evidencija se sastoji I od sljedećih podataka: kategorija osobe čiji se podaci obrađuju, kategorija osobnih podataka, svrha i osnova obrade, treće osobe kojima su podaci otkriveni, trajanje obrade, pohranjivanje podataka, opis mjera zaštite, oblik u kojem se podaci pohranjuju.
16. NADZORNO TIJELO
Nadzorno tijelo za zaštitu osobnih podataka u Republici Hrvatskoj je Agencija za zaštitu osobnih podataka. Nadzorno tijelo možete kontaktirati na adresi Selska cesta 136, 10000 Zagreb, Republika Hrvatska, emailom na azop@azop.hr ili telefonom na 00385 (0)1 4609-000.
17. ZAVRŠNE ODREDBE
Ova Politika privatnosti stupa danom objave na web stranici Platforme.
“Crumbs” zadržava pravo izmjene ove Politike privatnosti u skladu sa svojom poslovnom politikom i promjenama zakonskih odredbi iz relevantnih područja.
Utvrđivanje nevaljanosti bilo koje pojedine odredbe ove Politike privatnosti ne utječe na valjanost ostalih odredbi.
1. INTRODUCTORY PROVISIONS
The “Crumbs” platform processes the personal data of its users and respects the privacy and security of personal data, and in this policy you can find information about the method and purpose of collecting your personal data, its use and sharing, as well as the procedure for its protection and storage, and especially your rights in in connection with the above, and all in accordance with Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 on the protection of individuals in connection with the processing of personal data and on the free movement of such data and on the repeal of Directive 95/46/ EC (General Data Protection Regulation – GDPR) and in accordance with other regulations in the field of personal data protection in force in the Republic of Croatia.
The data controller uses the User’s data in accordance with this Privacy Policy, and undertakes to protect the privacy of all Users, to collect only the necessary personal data of the User, i.e. data necessary for the operation of the Platform, fulfillment of contractual obligations, informing the User in accordance with the customs of good business practice and for the purpose providing quality service.
Please read this Privacy Policy carefully before you start using our Platform, since the start of its use means that you have read, understood and accepted the terms of this act according to which we protect and process your personal data.
The privacy policy was created in accordance with the rules prescribed by the GDPR Regulation, and the rules of the Regulation apply to everything that is not regulated, and in case of deviation from the provisions of this act, the provisions of the Regulation and other regulations in the field of personal data protection must be directly applied.
2. PROCESSING MANAGER
The manager of data processing and the owner of the Platform (website www.crumbs.hr, and Android and IOS application “Crumbs”) is the company Crumbs Technology d.o.o., Trg Žrtava Fašizma 1, 10000 Zagreb, entered in the court register of the Commercial Court in Zagreb under number MB: 05322545, OIB 43800037093 e-mail address: info@staging15.crumbs.hr, website: www.crumbs.hr, Working hours: Monday – Friday 09:00 – 17:00.
In order to protect their rights and pursue other interests, users can contact the person authorized to protect personal data at the following contact details:
E-mail: info@staging15.crumbs.hr
3. TERMS AND DEFINITIONS
Certain terms and definitions beginning with a capital letter have the same meaning as in the General Terms of Use of the “Crumbs” Platform, unless expressly stated otherwise in this Privacy Policy.
Certain terms in this Privacy Policy have the following meaning:
“personal data” is any data relating to a natural person whose identity is determined or ascertainable, directly or indirectly, in particular on the basis of an identity marker, such as name and identification number, location data, identifiers in electronic communication networks or one or more features of his physical, physiological, genetic, mental, economic, cultural and social identity; “respondent” is a natural person whose personal data is processed; “personal data processing” is any action or set of actions performed automatically or non-automatically with personal data or sets thereof, such as collecting, recording, classifying, grouping, i.e. structuring, storing, adapting or changing, disclosing, viewing, using , disclosure by transmission, i.e. providing, duplicating, disseminating or otherwise making available, comparing, limiting, erasing or destroying (hereinafter: processing); “processor” is a natural or legal person, that is, a body that processes personal data on behalf of the controller; “recipient” is a natural or legal person, i.e. a body to which personal data has been communicated, regardless of whether it is a third party or not, except in the case of bodies that, in accordance with the law, receive personal data in the context of the investigation of a specific case and process this data in accordance with the rules on the protection of personal data related to the purpose of processing; “third party” is a natural or legal person, that is, a public authority, who is not the person to whom the data refer, the manager or processor, as well as the person authorized to process personal data under the direct supervision of the manager or processor; “consent” of the subject is any voluntary, specific, informed and unequivocal expression of will by which that person, by a statement or a clear affirmative action, gives his consent to the processing of personal data relating to him; “personal data breach” is a breach of personal data security that results in accidental or unlawful destruction through loss, alteration, unauthorized disclosure or access to personal data that has been transmitted, stored or otherwise processed; “sensitive data” refers to data that reveal racial or ethnic origin, political opinion, religious or philosophical beliefs or trade union membership, as well as the processing of genetic data, biometric data for the purpose of unique identification
of the person, data on the state of health, i.e. data on the sex life or sexual orientation of the natural person.
4. PRINCIPLES OF PROTECTION OF PERSONAL DATA
Personal data, in accordance with applicable regulations, must:
be processed legally, fairly and transparently in relation to the person to whom the data refer (“legality, fairness and transparency”); be collected for purposes that are specifically determined, explicit, justified and lawful, and yet cannot be processed in a way that is inconsistent with those purposes (“limitation in relation to the purpose of processing”); be appropriate, essential and limited to what is necessary in relation to the purpose of the processing (“minimization of data collection”); be accurate and, if necessary, updated and taking into account the purpose of the processing, all reasonable steps must be taken to ensure that inaccurate personal data is deleted or corrected without delay (“accuracy”); be stored in a form that enables identification of the person only as long as necessary to achieve the purpose of the processing (“storage limitation”); be processed in a way that ensures adequate protection of personal data, including protection against unauthorized or illegal processing, as well as against accidental loss, destruction or damage by applying appropriate technical, organizational and personnel measures (“integrity and confidentiality”).
5. PERSONAL DATA PROCESSED
The personal data that we collect, process and store, obtained directly from the Platform User during use, are:
name and surname; e-mail address; address (country, city, house number); Zip code; telephone number; location information; sex; date of birth. The Data Controller does not collect your Sensitive Data, except in the case when the User voluntarily makes it available or in the case of such an obligation of the Data Controller in accordance with applicable regulations.
The processing manager collects and processes the following data from Users who submit a complaint:
date of receipt of complaint; the date of issuance of the certificate of receipt of the complaint; number of confirmation of receipt of complaint; name and surname; order number; e-mail address; telephone number; residential address; signature; item designation; date of purchase; item price; the decision on the response to the User and the date of delivery of that response to the User; deadlines for deciding on the complaint; method and date of complaint resolution; current account; name of the bank; description and reason for complaint. The processing manager collects and processes some of the following data, i.e. the following data of the User:
data collected from the User’s internet browser, time and method of using the Platform, data on created accounts and searches within the Platform, device and device identification number, device IMEI number, country, internet service provider. In order to improve the Platform on our website, and to improve the user experience when browsing the website, the Data Controller collects analytical and other data from the User’s internet browser, i.e. cookies.
Cookies are digital records stored on your device that enable us to identify and provide additional information about the Platform User. Cookies will not damage your device or documents and serve to customize and improve the user experience according to your personal preferences.
Users can set their internet browser to reject cookies, or to warn about the sending of cookies, but the specified settings may affect the proper operation of certain parts of the Platform.
The controller collects some of the following data from the User’s internet browser, i.e. the following data:
time and method of using the Platform, data on created accounts and searches within the Platform; browser type and version; operating system used; Javascript activation; enabling/disabling cookies; reference URL – previous and next visited page; IP address; state; access time; clicks; content of completed forms; device name, class and device identification number; Internet service provider name and geographic information; advertising identifiers on your device; visit identifiers. The Platform uses “Google analytics” and other internet analytics services to collect statistical and analytical data and reports on visitor usage and help us improve your user experience. You can turn off this service in the settings of your internet browser.
6. PURPOSE AND BASIS OF PERSONAL DATA PROCESSING
The controller processes the data specified in the previous provision of this act:
on the basis of the concluded contract – the General Terms of Use of the Platform, for the purpose of realizing and fulfilling the contractual rights and obligations between the Controller and the User; on the basis of the express consent of the Platform User, which the User gives in a special form or in a final action from which it follows that the User agrees to certain processing; based on legitimate interest in accordance with regulations; on the basis of a legal obligation to comply with the prescribed obligations of the Controller; on another basis of processing provided for by the regulations according to which the Controller is obliged
collect, store and process User data; in order to fulfill the processing manager’s obligations related to the data related to the reported complaint by the User; to send a control code when registering an account or changing the code for an existing account (e-mail address information); in order to provide information and answers to inquiries or requests to the Respondent who sent the inquiry to the Data Controller; for conducting out-of-court disputes in accordance with the regulations, and on the occasion of the initiated out-of-court dispute by the Respondent who submits a complaint and whose request for a complaint was rejected; conducting court disputes in accordance with regulations, collection of claims and court proceedings, especially in connection with the protection of data, the Platform’s system and network, as well as protection against fraud, abuse, and for the purpose of notifying the Recipient of the notification who has given consent to receive a telephone call or electronic message for the purpose of receiving information from the Controller about promotional offers and other information related to the Controller’s service; for other purposes for which the User has given consent, unless the consent is withdrawn in accordance with the regulations and this Privacy Policy or for other purposes in accordance with the regulations. If the processing of personal data is carried out for a purpose that is different from the purpose for which the data was collected, and is not based on regulations or on the consent of the Respondent, the Data Controller, while respecting the appropriate security measures, assesses whether this other purpose of the processing is in accordance with the purpose of the processing for which the data was collected.
The data controller is obliged to constantly apply appropriate technical, organizational and personnel measures to ensure that only those personal data that are necessary for the achievement of each individual purpose of processing are always processed, which is applied in relation to the amount of data collected, the scope of their processing, and the term of their storage and their availability.
The platform can process data about your experience when using it for the purpose of improving the quality of services. The platform will use the specified data as aggregate data of all Users, preferably without data on the basis of which an individual person can be identified. The platform processes your personal data for the purpose of fulfilling contractual obligations towards you and harmonizing business with legal obligations. The purpose of processing your personal data is management, maintenance and development in order to achieve the best possible user experience of the Platform.
7. CONSENT FOR THE PROCESSING OF PERSONAL DATA
Consent is given by the User on a special form, with a clear and prominent title “Consent”, or another title that unequivocally indicates that it is consent for the processing of personal data, and its content is described in an informed, transparent manner, comprehensible, accessible, clear and simple words in the manner determined by the regulations on the protection of personal data.
The User is not conditioned to give consent in order to provide a service or a part of a service for which consent is not required, and the same is considered voluntary, unless it is possible to enable the User to fulfill his request without data processing for which consent is requested.
The user has the right to revoke consent at any time. The revocation of consent does not affect the admissibility of processing that was carried out on the basis of consent before the revocation. Before giving consent, the Respondent must be aware of the right to revocation, as well as the effect of revocation. Withdrawing consent must be as easy as giving consent.
On the basis of consent, the e-mail address and telephone number of the User are processed for the purpose of informing about the activities of the Platform, benefits offered by the Platform and direct advertising, and the consent for the processing in question is given electronically in the field provided for this.
8. NOTICE FOR ADVERTISING PURPOSES
The data controller can send Platform Users notifications about news, benefits or actions in the provision of services, based on the express consent of the recipient of the notification. The above can be done by phone or by sending an electronic message to the recipient’s e-mail address.
The recipient of the notification can at any time unsubscribe from further receiving notifications by submitting a request for suspension of receiving notifications, which must be clearly stated both when giving consent to receive notifications and with each notification sent. Unsubscribing from further receiving notifications does not affect the admissibility of the processing that was carried out before submitting the request for suspension of receiving notifications.
9. USER RIGHTS
The right to be informed and the right to access information – The data controller is obliged to provide the following information at the request of the User in a concise, transparent, understandable and easily accessible manner, in clear and simple words:
identity and contact information of the Data Controller and employees or other persons engaged by the Data Controller who are responsible for the processing; the purpose of the intended processing and the legal basis of the processing; the existence of a legitimate interest of the Controller or a third party, if the basis of the processing is a legitimate interest; information about the recipient, or the group of recipients of personal data, if they exist; to the fact
that the Controller intends to transfer personal data to another country or international organization; the period of storage of personal data or, if this is not possible, the criteria for its determination; the existence of the right to request access, correction or deletion of personal data from the Controller, i.e. the existence of the right to limit processing, the right to object, as well as the right to data portability; the existence of the right to revoke consent at any time, as well as the fact that the revocation of consent does not affect the admissibility of processing based on consent before the revocation; the right to submit a complaint to the Supervisory Authority; whether the provision of personal data is a legal or contractual obligation or the provision of data is a necessary condition for concluding a contract, as well as whether the person to whom the data refer has an obligation to provide personal data and possible consequences if the data is not provided; the existence of automated decision-making, including profiling, if the Controller carries out such processing. The data controller is obliged to respond to the User’s request within 30 days, with the fact that this period can be extended by another 60 days if necessary, taking into account the complexity and number of requests. The processing manager is obliged to inform the User about the extension of the deadline and the reasons for this extension within 30 days from the date of receipt of the request, and if the User submitted the request electronically, the information must be provided electronically if possible.
The user has the right to correct or supplement his incorrect personal data without delay. Depending on the purpose of the processing, the User has the right to supplement his incomplete personal data, which includes providing an additional statement.
If the correction can be made by correcting, deleting and entering different data by the User, the same correction will be made independently or the aforementioned will be made by the Data Controller at the explicit request of the User.
The User has the right to ask the Data Controller to limit the processing of data relating to him, if the processing is illegal, if the inaccuracy of the data is indicated, if an objection to the processing has been submitted in accordance with the Law, as well as for other legal reasons.
If the legal conditions are met, the Controller is obliged to delete the User’s personal data without undue delay at the User’s request if they are no longer necessary for the purpose for which they were collected or otherwise processed; if the User revoked the consent for processing or filed an objection, and there is no other legal basis for continuing the processing in accordance with the regulations, and if the processing of personal data was illegal, as well as in the case of the existence of such a legal obligation of the Controller.
The User has the right to submit to the Controller at any time an objection to the processing of his personal data, which is carried out on the basis of consent, and the Controller is obliged to stop the data processing, unless he has informed the User of the existence of legal reasons for processing that prevail over the interests and rights of that User .
10. STORAGE OF PERSONAL DATA
The User’s personal data is stored in electronic form on the server and is secured with an SSL certificate, and the Data Controller has access to the central database located on the aforementioned server and in the Data Controller’s central database, and is secured by appropriate organizational and technical measures. Data in electronic form is stored specifically on the main server that meets high IT security standards. Access to data is allowed only to a limited number of persons employed by the Controller, who have the authority or obligation to access the same resources and maintain the system in a state of functionality and an appropriate level of protection.
Within the Controller’s company, only those organizational units, i.e. employees who need them to fulfill the purpose for which the personal data were collected, and who are authorized to access and process the User’s data, have access to the data.
11. ACCESS TO DATA BY THIRD PARTIES
The controller is authorized to use the services of third parties for the purposes of fulfilling the obligations from the General Terms of Use, performing payment transactions, legal obligations, maintaining the service, improving work, namely the services of our related persons in the Republic of Croatia, their employees, Partners whose goods you purchased on Platforms, marketing agencies, communication agencies or agencies for market research or customer satisfaction, IT service providers, government authorities. In addition, in order to enable the functioning of the Platform, we engage other companies and individuals to perform tasks on our behalf (sending mail and e-mail, removing data from the list of Users, providing marketing services, call center, payment service providers, accounting services, and others external and internal collaborators) for whose work and results he is responsible in accordance with regulations.
The processing manager guarantees that the Processing Executor will implement the necessary technical, organizational and personnel measures, so that the processing takes place in accordance with the regulations and ensures adequate protection of persons
of the User’s data.
The data processing manager concludes a data processing contract with the processors, which can be an integral or accompanying part of the basic contract, and which contains all the necessary elements provided for by the regulations.
We will not make your personal data available to other recipients or third parties, except in the cases specified in this Privacy Policy.
12. DATA SECURITY
When assessing the required level of established security of personal data, the Controller takes into account and monitors the level of technological achievements as well as the costs of their application, then the nature, scope, circumstances and purpose of data processing, and based on these parameters evaluates the probability of risk occurrence, i.e. the potential level of risk for rights and freedom of the User.
The data controller implements appropriate technical and organizational measures in order to achieve the necessary level of protection against the risk of destruction, loss, alteration, unauthorized disclosure or access to the User’s data.
When sending personal data to the Processor, the Processor is obliged to ensure a secure communication channel through which the data travels, as well as to ensure that the data is stored securely with appropriate security standards.
Whenever possible, the data controller implements the pseudonymization of the database and the application of modern methods of protection and control of access to original data containing personal data, the restriction of access to sensitive data, as well as the restriction of user accounts that can have access to certain data, by introducing a system of roles and authorizations that will ensure that individual employees of the Data Controller who need access to data to perform work tasks can have insight and process the appropriate data.
All information about Users is strictly protected and is available only to employees of the Data Controller who need the data to perform their work, and the Data Controller is responsible for respecting the principles of personal data protection, in accordance with this Privacy Policy.
Data about Users who have made a purchase or placed an order are stored on secure servers that are protected by a password and a firewall. All electronic transactions related to purchases through the Controller Platform will be encrypted using SSL technology.
The personal data of the User of the Service provided to the Data Controller during the purchase process are considered a business secret, and the Data Controller is prohibited from selling, ordering, delivering or exchanging such data of the User in any form to a third party, unless it is a bank or competent state authorities.
When it comes to the security of the User’s confidential data when paying with payment cards, as stated in the General Terms and Conditions, the Controller uses the services of the Stripe Payments Europe, Limited (SPEL) platform, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland, www.stripe.com, which uses the highest standards of data protection and privacy.
We disclose certain personal data (name, surname, residential address) to payment service providers – the bank and the Institution providing payment services, which, based on the contract with the Platform, provide services in the payment process on the Platform and the realization of payments: Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland, www.stripe.com, (Institution) in order to realize the payment transaction and return the funds to the User. By accepting these Privacy Rules, the User undertakes to submit the specified personal data to the Bank and the Institution, which may process the personal data exclusively for the purpose of performing a payment transaction and returning funds to the User, and for the purpose of compliance with legal and other regulations, especially those governing the operations of payment providers services, which includes the obligation to report to the state authority, checking the User from the aspect of preventing money laundering and terrorist financing, and risk management.
Also, the Bank and the Institution, in the process of resolving the User’s complaint regarding the payment transaction, process data collected and processed by the Data Controller from the User who submits the complaint, in accordance with point 5 of this Privacy Policy.
The processing manager protects the User in such a way that when entering payment card data, confidential data is transmitted via a public network in a protected (encrypted) form using the SSL protocol. Data security during purchase is guaranteed by the payment service provider.
Personal data must be adequate, essential and limited to what is necessary in relation to the purpose of processing, be accurate and, if and when necessary, updated. The payment service provider will take all reasonable steps to ensure that inaccurate personal data is deleted or corrected without delay. Personal data will be stored in a form that enables the identification of a person only as long as is necessary to achieve the purpose of storage. The processing of personal data will be carried out in a way that ensures adequate protection of personal data, including protection against unauthorized or illegal processing, as well as against
accidental loss, destruction or damage, by applying appropriate technical, organizational and personnel measures.
Payment card information is not available to the Data Controller at any time of the transaction.
13. PROCEDURE FOR VIOLATION OF PERSONAL DATA
If there is a threat to data and security, the Data Controller will undertake all necessary notification and protection measures provided for in the regulations, including notifying the competent Supervisory Body, as well as the User if the conditions from the Privacy Policy and regulations on personal data protection are met.
In the event of a breach of personal data, the Controller is obliged to notify the Supervisory Body of the breach without undue delay, and no later than within 72 hours of becoming aware of the breach, unless it is likely that the breach of personal data will cause a risk to the rights and freedoms of individuals. In case of failure to act within a certain period, the Manager will explain the reasons for the delay.
The Controller’s notification to the supervisory authority must contain at least the following:
a description of the nature of the personal data breach, including the types of data and the approximate number of persons to whom that type of data applies, as well as the approximate number of personal data whose security has been breached; name and contact person for the protection of personal data or information on another way to obtain information about the injury; description of the possible consequences of the injury; a description of the measures taken or proposed by the operator in relation to the breach, including measures taken to reduce adverse consequences. documentation on any violation of personal data, including the facts of the violation, its consequences and measures taken to eliminate them. The controller is not obliged to notify the User if:
has taken appropriate technical and organizational protection measures in relation to personal data whose security has been compromised; has subsequently taken measures so that the breach of personal data with a high risk for the rights and freedoms of the person to whom the data refers can no longer produce consequences for that person; would notifying the person to whom the data refer would represent a disproportionate expenditure of time and resources, in which case the Data Controller is obliged to inform the person to whom the data refer via a public notification or in another effective way. If the User becomes aware of any event that has led or may lead to the endangerment of his personal data or the personal data of third parties, he is obliged to notify the Data Controller without delay via the contacts listed in this document.
14. PERIOD OF DATA STORAGE AND ITS DELETION
The data is kept for as long as is necessary for the purpose for which it is processed, except in the case when the basis for collecting such data is the User’s consent.
In the case where the basis for collecting data about the User is his consent, this data will be kept until the consent is revoked.
The data controller will not proceed with the deletion of data related to a specific User, who has not fulfilled his contractual obligations towards the Data Controller, or if the Data Controller has the right or obligation according to the applicable regulations to store certain data about the User in accordance with the regulations and within the deadline until the legal obligation is met, i.e. the existence legitimate interest, but not longer than the legally prescribed data retention period, i.e. 3 years in case of legitimate interest.
The processing manager will keep the data of Users receiving notifications who have given their express consent to processing and storing data for the purpose of informing them about news and promotional offers.
Data collected from inquiries in the Platform’s contact form, via e-mail or phone, are deleted or anonymized no later than one year after the final response is forwarded by the Data Controller.
The storage time for each individual category of personal data is specified in the User’s personal data processing record.
15. RECORD OF PERSONAL DATA PROCESSING ACTIVITIES
The controller keeps records of the processing of personal data of the User of these Privacy Rules and personal data, as well as records of out-of-court disputes of the User who submitted a request for objection and whose request was rejected, in electronic form and with permanent storage.
In addition to the name and business data of the Data Controller, the record also consists of the following data: category of person whose data is processed, category of personal data, purpose and basis of processing, third parties to whom the data was disclosed, duration of processing, data storage, description of protection measures, form in which data is stored.
16. SUPERVISORY BODY
The supervisory body for the protection of personal data in the Republic of Croatia is the Personal Data Protection Agency. You can contact the supervisory body at Selska cesta 136, 10000 Zagreb, Republic of Croatia, by email at azop@azop.hr or by phone at 00385 (0)1 4609-000.
17. FINAL PROVISIONS
This Privacy Policy enters into force on the day it is published on the Platform’s website.
“Crumbs” reserves the right to change this Privacy Policy in accordance with its business policy and changes in legal provisions in relevant areas.
Determining the invalidity of the bill that certain provisions of this Privacy Policy do not affect the validity of other provisions.