1.     OPŠTE ODREDBE

1.1.       Svrha akta

Ovom Politikom privatnosti MF banke a.d. Banja Luka (u daljem tekstu: “Politika privatnosti”) definišu se relevantne informacije vezane za obradu ličnih podataka nosioca podataka od strane MF banke a.d. Banja Luka.

Cilj ove Politike privatnosti MF banke a.d. Banja Luka (u daljem tekstu: “Banka”) je primjena načela zakonite, poštene i transparentne obrade ličnih podataka. Ovom Politikom privatnosti Banka želi da nosiocima podataka pruži sve relevantne informacije o tome kako Banka prikuplja, koristi, čuva i štiti njihove lične podatke, bilo putem poslovnica Banke, web stranice Banke (www.mfbanka.com) ili prilikom korišćenja mobilnih aplikacija Banke:

• “MF BIZ asistent” za korporativne klijente

(Dostupno na: Google Play i App Store)

• “mMFBanka” za fizička lica

(Dostupno na: Google Play i App Store)

1.2.       Definicije i pojmovi

Politika privatnosti – Politika privatnosti MF banke a.d. Banja Luka;

Zakon – Zakon o zaštiti ličnih podataka;

Banka – MF banka a.d. Banja Luka;

Agencija – Agencija za zaštitu ličnih podataka

DPO – (Data Protection Officer) – Lice za zaštitu ličnih podataka

Lični podatak –  svaki podatak koji se odnosi na fizičko lice čiji je identitet utvrđen ili se može utvrditi;

Nosilac podataka –  fizičko lice čiji je identitet utvrđen ili čiji se identitet može utvrditi, posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog lica (uključujući klijente Banke i korisnike Mobilnih aplikacija);   

Posebne kategorije podataka – obrada ličnih podataka koji otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije lica, podataka o zdravlju ili podataka o spolnom životu ili seksualnoj orijentaciji (npr. otisak prsta ili prepoznavanje lica koje se može koristiti za prijavu u Mobilne aplikacije, ukoliko je ta funkcionalnost omogućena i korisnik je aktivira); 

Zbirka ličnih podataka – svaki strukturirani skup ličnih podataka koji su dostupni u skladu s posebnim kriterijima, bez obzira na to da li su centralizirani, decentralizirani ili rasprostranjeni na funkcionalnoj ili geografskoj osnovi;  

Obrada ličnih podataka – svaki postupak ili skup postupaka koji se obavlja na ličnim podacima ili na skupovima ličnih podataka, automatiziranim ili neautomatiziranim sredstvima, kao što su: prikupljanje, evidentiranje, organizacija, strukturiranje, čuvanje, prilagođavanje ili izmjena, pronalaženje, ostvarivanje uvida, upotreba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničenje, brisanje ili uništavanje;

Kontrolor – MF banka a.d. Banja Luka koja samostalno ili s drugim određuje svrhe i sredstva obrade ličnih podataka na osnovu zakona ili propisa; 

Obrađivač – fizičko ili pravno lice, javni organ koji obrađuje lične podatke u ime kontrolora podataka (uključujući Tehničkog partnera za Mobilne aplikacije); 

Tehnički partner / Developer Mobilnih aplikacija – Kompanija ASEE d.o.o. Sarajevo, koju Banka angažuje za razvoj, održavanje i tehničku podršku Mobilnih aplikacija i koja u tom svojstvu deluje kao Obrađivač podataka u ime Banke;

Treća strana – znači fizičko ili pravno lice, javni organ, Agencija ili drugo tijelo koje nije nosilac podataka, kontrolor podataka, obrađivač ni lica koja su ovlaštena za obradu ličnih podataka pod neposrednom nadležnošću kontrolora podataka ili obrađivača; 

Saglasnost nosioca podataka – svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje volje nosioca podataka kada on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu ličnih podataka koji se na njega odnose; 

Primalac – fizičko ili pravno lice, javni organ kome se otkrivaju lični podaci, nezavisno od toga da li je u pitanju treća strana. Javni organi koji mogu primiti lične podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primaocima, ali obrada tih podataka mora biti u skladu s važećim pravilima o zaštiti podataka prema svrhama obrade;

Agencija za zaštitu ličnih podataka u BiH (u daljem tekstu: Agencija)  – nezavisan nadzorni organ za praćenje primjene Zakona, s ciljem zaštite osnovnih prava i sloboda fizičkih lica u vezi s obradom ličnih podataka u Bosni i Hercegovini; 

Lice za zaštitu ličnih podataka DPO – u Banci je zaposleni imenovan odlukom Uprave Banke, kome se lica čiji se podaci obrađuju i zaposleni Banke mogu obratiti po pitanjima i zahtjevima u vezi sa obradom ličnih podataka. 

2.    OPŠTE INFORMACIJE

2.1.        Podaci o kontroloru

Kontrolor ličnih podataka je MF banka a.d. Banja Luka, Aleja Svetog Save br. 61, 78000 Banja Luka, JIB br. 4402660380006, MB br. 11022685, broj telefona: +387 51 240 300​, broj faxa: +387 51 232 091​, e-mail: office@mfbanka.com​, web stranica: www.mfbanka.com ​.

2.2.       Podaci o kontaktu za zaštitu ličnih podataka

Lice za zaštitu ličnih podataka (DPO) je dostupno putem e-mail adrese:

pracenjeuskladjenostiposlovanja@mfbanka.com i adrese: Aleja Svetog Save br. 61, 78000 Banja Luka.

2.3.        Vrste ličnih podataka koje Banka obrađuje

Banka u okviru obavljanja svoje zakonite djelatnosti, prikuplja i obrađuje lične podatke neophodne za pružanje bankarskih usluga i ispunjavanje zakonskih obaveza. Vrste podataka zavise od konkretnog proizvoda ili usluge koju klijent koristi. Ovi podaci se vode u okviru evidencije o zbirkama ličnih podataka (u daljem tekstu: “Evidencija”) u skladu sa Pravilnikom o načinu vođenja i obrascu evidencije o zbirkama ličnih podataka Bosne i Hercegovine. Evidencije su javno dostupne u okviru Glavnog registra na internet stranici Agencije http://azlpreg.azlp.ba/.

Specifično za Mobilne aplikacije (MF BIZ asistent i mMFBanka), Banka prikuplja i obrađuje sledeće kategorije podataka:

• Podaci za identifikaciju i autentifikaciju: Korisničko ime, lozinka, PIN, biometrijski podaci (otisak prsta, prepoznavanje lica – ukoliko korisnik aktivira ovu opciju na svom uređaju za prijavu u aplikaciju). Banka ne čuva same biometrijske podatke, već koristi mehanizme operativnog sistema uređaja za potvrdu identiteta.
• Kontakt podaci: Broj telefona (za registraciju, verifikaciju i komunikaciju), e-mail adresa (opciono, za komunikaciju).
• Finansijski podaci: Informacije o računima dostupnim kroz aplikaciju (brojevi računa, stanje, promet), detalji transakcija izvršenih putem aplikacije (podaci o primaocu, iznos, svrha plaćanja, vrijeme transakcije).
• Tehnički podaci: Informacije o uređaju (model, tip i verzija operativnog sistema, jedinstveni identifikator uređaja), IP adresa, podaci o verziji Mobilne aplikacije koju korisnik koristi, dijagnostički podaci o radu aplikacije i izveštaji o greškama (crash logs) u anonimiziranom ili pseudoanonimiziranom obliku radi otklanjanja tehničkih problema i poboljšanja performansi.
• Podaci prikupljeni uz dozvolu: Ukoliko Mobilna aplikacija nudi takve funkcionalnosti i korisnik da saglasnost putem podešavanja operativnog sistema svog uređaja, Banka može pristupiti:
  • Kameri: Isključivo radi skeniranja QR kodova ili dokumenata (npr. uplatnica) kako bi olakšala unos podataka za plaćanje ili druge usluge unutar aplikacije.
  • Ostale dozvole (npr. Lokacija, Kontakti): Ako aplikacija zahtjeva dodatne dozvole, njihova svrha će biti jasno objašnjena u trenutku traženja dozvole i/ili u Odeljku 2.12 ove Politike.

2.4.       Svrha i pravni osnov obrade ličnih podataka

Banka obrađuje lične podatke uz poštovanje načela zakonitosti, poštenja i transparentnosti, isključivo u svrhe koje su konkretno određene, izričite, opravdane i zakonite.

Osnovne svrhe obrade ličnih podataka klijenata su:

• Pružanje bankarskih usluga i proizvoda (otvaranje i vođenje računa, odobravanje kredita, platni promet, kartično poslovanje, itd.).
• Sprovođenje predugovornih mjera (npr. obrada zahtjeva za kredit).
• Ispunjavanje zakonskih i regulatornih obaveza Banke (npr. primena Zakona o sprečavanju pranja novca i finansiranja terorističkih aktivnosti, izveštavanje prema Agenciji za bankarstvo, poreskim organima itd.).
• Upravljanje rizicima.
• Zaštita legitimnih interesa Banke (npr. naplata potraživanja, sprečavanje prevara).
• Obrada na osnovu saglasnosti klijenta (npr. za direktni marketing).

Specifično za Mobilne aplikacije, podaci se obrađuju u sljedeće svrhe:

• Omogućavanje korišćenja funkcionalnosti Mobilnih aplikacija: Pregled stanja i prometa po računima, izvršavanje domaćih i međunarodnih plaćanja, upravljanje karticama, menjački poslovi, i druge usluge dostupne kroz aplikaciju.
• Autentifikacija i autorizacija: Potvrda identiteta korisnika aplikacije prilikom prijave i potvrda transakcija koje inicira.
• Održavanje sigurnosti: Praćenje sumnjivih aktivnosti, sprečavanje neovlašćenog pristupa i zaštita od prevara.
• Tehničko održavanje i unapređenje: Analiza rada aplikacije, dijagnostika i otklanjanje grešaka, poboljšanje performansi i korisničkog iskustva (često korišćenjem anonimiziranih ili agregiranih podataka).
• Korisnička podrška: Pružanje pomoći u vezi sa korišćenjem Mobilnih aplikacija.
• Komunikacija: Slanje važnih servisnih obaveštenja vezanih za korišćenje aplikacije ili promjene u uslovima korišćenja.

Pravni osnov za obradu podataka putem Mobilnih aplikacija je prvenstveno izvršenje ugovora o korišćenju usluga mobilnog bankarstva zaključenog između korisnika aplikacije i Banke, kao i ispunjavanje zakonskih obaveza Banke i legitimni interes Banke (npr. za sigurnost i unapređenje usluge). Za određene obrade, kao što je korišćenje biometrije za prijavu ili pristup kameri, osnov je saglasnost korisnika aplikacije (koju isti daje aktiviranjem opcije ili davanjem dozvole na uređaju).

Davanje ličnih podataka za korišćenje Mobilnih aplikacija je neophodno za pružanje usluge. Ako korisnik aplikacije ne želi dati tražene podatke ili neophodne dozvole, neće moći koristiti funkcionalnosti Mobilnih aplikacija.

2.5.      Prava nosioca podataka

Nosilac podataka ima sljedeće prava, u vezi sa obradom njegovih ličnih podataka:

1. Pravo na pristup;
2. Pravo na ispravku i dopunu;
3. Pravo na brisanje ličnih podataka;
4. Pravo na ograničenje obrade;
5. Pravo na prenosivost podataka;
6. Pravo na prigovor;
7. Pravo na opoziv saglasnosti za obradu;
8. Pravo nosioca podataka da se na njega ne primjenjuje odluka donijeta isključivo na osnovu automatizovane obrade (uključujući profilisanje).

Pravo na pristup – Nosilac podataka ima pravo da od Banke zahtjeva informaciju da li se obrađuju njegovi lični podaci, te ukoliko se obrađuju ima pravo na pristup ličnim podacima i dobijanje relevantnih informacija (svrha obrade, vrste ličnih podataka itd.)  Na zahtjev nosioca podataka, Banka izdaje kopiju ličnih podataka koje obrađuje.

Pravo na ispravku i dopunu – Nosilac podataka ima pravo da zahtjeva ispravku i dopunu ličnih podataka, ako Banka obrađuje lične podatke koji nisu tačni ili nisu potpuni.

Pravo na brisanje ličnih podataka – Nosilac podataka ima pravo na brisanje svojih ličnih podataka, bez nepotrebnog odlaganja, pod određenim uslovima (npr. ako više nisu potrebni za svrhu za koju su prikupljeni, ako nosilac podataka povuče saglasnost a nema drugog pravnog osnova, ako su podaci nezakonito obrađivani).

Pravo na ograničenje obrade – Nosilac podataka ima pravo, pod određenim uslovima, na ograničenje obrade, odnosno da Banka ne briše njegove lične podatke, već da iste nastavi ograničeno obrađivati.

Pravo na prenosivost podataka – Nosilac podataka, u određenim situacijama, može od Banke tražiti da preuzme lični podatak, koji se odnosi na njega, u strukturiranom, uobičajeno upotrebljavanom i mašinski čitljivom formatu ili da njegove lične podatke prenese neposredno drugom kontroloru ako je to tehnički izvodljivo.

Pravo na prigovor – Nosilac podataka, ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, ima pravo da u svakom trenutku podnese Banci prigovor na obradu njegovih ličnih podataka. Takođe, Nosilac podataka ima pravo da u svakom trenutku podnese prigovor na obradu svojih ličnih podataka koji se obrađuju za potrebe direktnog marketinga, shodno čemu Banka neće dalje obrađivati lične podatke u takve svrhe.

Pravo na opoziv saglasnosti za obradu – Nosilac podataka je upoznat sa tim da se saglasnost daje na dobrovoljnoj osnovi, te da je u svakom trenutku može opozvati. Opoziv ne utiče na dopuštenost obrade koja je vršena na osnovu saglasnosti prije opoziva. Nakon opoziva saglasnosti, Banka neće više koristiti lične podatke nosioca podataka u svrhe na koje se odnosi opoziv.

Pravo nosioca podataka da se na njega ne primjenjuje odluka donijeta isključivo na osnovu automatizovane obrade – Nosilac podataka ima pravo da traži od Banke da ne podliježe odluci koja se zasniva isključivo na automatizovanoj obradi, uključujući profilisanje.

Banka osigurava nociocima podataka mogućnost ostvarivanja svojih prava. Nosilac podataka može podnijeti Zahtjev za ostvarivanje prava nosioca podataka (u daljem tekstu: “Zahtjev”), a koji je dostupan u poslovnicama Banke i objavljen na internet stranici Banke www.mfbanka.com putem kanala navedenih u tački 2.2​. Banka će na primljene Zahtjeve odgovoriti u roku od 30 dana od dana prijema Zahtjeva.

2.6.      Primaoci ličnih podataka

Primaoci ličnih podataka su ovlašćeni zaposleni Banke koji podatke obrađuju u svrhu izvršavanja svojih radnih zadataka.

Podaci se mogu otkriti i:

• Obrađivačima: Trećim licima koja obrađuju podatke u ime i za račun Banke, na osnovu ugovora i uz primjenu adekvatnih mjera zaštite. Ovo uključuje Tehničkog partnera/Developera Mobilnih aplikacija Banke (ASEE d.o.o. Sarajevo), koji ima pristup podacima neophodnim za pružanje usluga razvoja, održavanja i tehničke podrške Mobilnih aplikacija (npr. tehnički podaci o uređaju, dijagnostički podaci, ali ne i finansijski detalji nosioca podataka osim ako je to tehnički neophodno za rješavanje specifičnog problema i uz saglasnost nosioca podataka ili nalog Banke).
• Drugim kontrolorima: U slučajevima kada je to neophodno za pružanje usluge (npr. druge banke ili procesori plaćanja u platnom prometu, kartične organizacije).
• Državnim organima: Kada je to propisano zakonom (npr. Agencija za bankarstvo, poreski organi, sudovi, tužilaštva, organi za sprovođenje zakona u skladu sa Zakonom o sprečavanju pranja novca i finansiranja terorističkih aktivnosti).

Svi primaoci su obavezni da čuvaju poverljivost podataka (kao bankarsku i poslovnu tajnu) i da ih koriste isključivo u svrhu za koju su im povjereni.

2.7.       Rokovi čuvanja ličnih podataka

Banka čuva lične podatke samo onoliko dugo koliko je neophodno za ostvarivanje svrhe za koju su prikupljeni, ili koliko je propisano relevantnim zakonskim propisima (npr. Zakon o sprečavanju pranja novca i finansiranja terorističkih aktivnosti propisuje rokove čuvanja transakcionih podataka). Nakon isteka svrhe ili zakonskog roka, podaci se brišu, uništavaju ili anonimiziraju.

Podaci prikupljeni putem Mobilnih aplikacija (npr. logovi o korišćenju, dijagnostički podaci) čuvaju se u skladu sa internim politikama Banke, obično kraće vrijeme potrebno za analizu, otklanjanje grešaka ili ispunjenje regulatornih zahtjeva, osim ako se odnose na transakcije koje podliježu dužim zakonskim rokovima čuvanja.

2.8.       Donošenje odluke na osnovu automatizovane obrade podataka

Banka može koristiti automatizovanu obradu, uključujući profilisanje, u određenim procesima (npr. kod procjene kreditnog rizika). U tim slučajevima, poštuju se odredbe Zakona i prava nosioca podataka navedena u tački 2.5, posebno pravo da se na nosioca podataka ne primenjuje odluka zasnovana isključivo na automatizovanoj obradi koja ima značajan uticaj na nosioca podataka, osim ako za to postoji zakonski osnov, neophodnost za ugovor ili saglasnost nosioca podataka.  

2.9.       Pravo na podnošenje prigovora Agenciji

Ukoliko nosilac podataka smatra da obrada ličnih podataka je izvršena suprotno odredbama Zakona, isti ima pravo da podnese prigovor nadležnom regulatornom tijelu (Agenciji za zaštitu ličnih podataka Bosne i Hercegovine) u skladu sa odredbama Zakona.

2.10.   Mjere zaštite

Banka primenjuje odgovarajuće tehničke i organizacione mjere kako bi osigurala zaštitu ličnih podataka od slučajnog ili nezakonitog uništenja, gubitka, izmjena, neovlašćenog otkrivanja ili pristupa. Ove mjere uključuju, ali nisu ograničene na: kontrolu fizičkog pristupa, kontrolu pristupa sistemima i podacima (upravljanje lozinkama, autorizacije), enkripciju podataka gde je to prikladno (npr. prilikom prenosa podataka putem interneta za Mobilne aplikacije – korišćenjem SSL/TLS protokola), procedure za redovno testiranje i procjenu efikasnosti mjera, obuke zaposlenih, zaključivanje ugovora sa obrađivačima (uključujući ASEE d.o.o. Sarajevo) koji ih obavezuju na primjenu mjera zaštite. Banka primenjuje načelo minimizacije podataka, obrađujući samo podatke neophodne za svaku pojedinačnu svrhu obrade.

2.11.    Prenos podataka u inostranstvo

Banka primarno vrši obradu ličnih podataka u Bosni i Hercegovini. Ukoliko dođe do prenosa podataka van BiH (npr. prilikom korišćenja usluga međunarodnih kartičnih organizacija, SWIFT sistema, ili ako neki od obrađivača koristi servere van BiH), prenos se vrši isključivo u skladu sa Zakonom, odnosno u države ili međunarodnim organizacijama koje obezbeđuju adekvatan nivo zaštite, ili uz primjenu drugih zaštitnih mera propisanih Zakonom (npr. standardne ugovorne klauzule) ili pod drugim uslovima propisanim Zakonom.

2.12.    Dozvole mobilnih aplikacija

Da bi Mobilne aplikacije mogle da pruže određene funkcionalnosti, mogu zahtjevati pristup određenim resursima ili informacijama na mobilnom uređaju korisnika. Aplikacija će tražiti saglasnost korisnika prije prvog pristupa tim resursima putem standardnih dijaloga operativnog sistema uređaja nosioca podataka (Android ili iOS). Dozvole koje aplikacija može tražiti uključuju:

• Kamera: Omogućava korisniku da koristi kameru uređaja za skeniranje QR kodova (npr. za brza plaćanja) ili za skeniranje dokumenata (npr. uplatnica) radi automatskog popunjavanja podataka u platnom nalogu. Aplikacija pristupa kameri samo kada korisnik aktivno pokrene funkciju koja je zahtjeva.
• Biometrija (Otisak prsta / Prepoznavanje lica): Ako uređaj korisnika podržava i korisnik aktivira ovu opciju, aplikacija može koristiti biometrijske senzore uređaja korisnika kao alternativu za unos lozinke/PIN-a prilikom prijave ili autorizacije transakcija. Banka ne prikuplja niti čuva biometrijske podatke korisnika; koristi se samo potvrda o uspešnoj autentifikaciji od strane operativnog sistema.
• Notifikacije: Omogućava aplikaciji da šalje korisniku push notifikacije (npr. o uspešnim transakcijama, važnim obaveštenjima Banke, sigurnosnim upozorenjima).
• Ostale dozvole: Ukoliko aplikacija bude zahtjevala dodatne dozvole (npr. pristup lokaciji za pronalaženje bankomata, pristup kontaktima za lakši unos primaoca plaćanja), svrha će biti jasno objašnjena prilikom traženja dozvole.

Korisnik u svakom trenutku može upravljati dozvolama koje je dao Mobilnim aplikacijama putem podešavanja (Settings) operativnog sistema svog mobilnog uređaja. Odbijanje ili povlačenje određene dozvole može onemogućiti korišćenje funkcionalnosti aplikacije koja zavisi od te dozvole.

2.13.    Izmjene Politike privatnosti

Banka zadržava pravo da ažurira ovu Politiku privatnosti s vremena na vrijeme, kako bi odražavala promjene u praksama obrade podataka ili promjene u relevantnim zakonima. Sve izmjene će biti objavljene na web stranici Banke (www.mfbanka.com) i, ukoliko su značajne, Banka može obavjestiti nosioca podataka i putem drugih kanala (npr. putem Mobilne aplikacije ili e-maila). Banka preporučuje nosiocima podataka da redovno pregledaju ovu Politiku privatnosti.

Datum posljednje izmjene: 14.04.2025. godine