1.     OPŠTE ODREDBE

1.1.       Svrha akta

Ovom Politikom privatnosti MF banke a.d. Banja Luka (u daljem tekstu: “Politika privatnosti”) definišu se relevantne informacije vezane za obradu ličnih podataka nosioca podataka od strane MF banke a.d. Banja Luka.

Cilj ove Politike privatnosti MF banke a.d. Banja Luka (u daljem tekstu: “Banka”) je primjena načela zakonite, poštene i transparentne obrade ličnih podataka. Ovom Politikom privatnosti Banka želi da nosiocima podataka pruži sve relevantne informacije o tome kako Banka prikuplja, koristi, čuva i štiti njihove lične podatke, bilo putem poslovnica Banke, web stranice Banke (www.mfbanka.com) ili prilikom korišćenja mobilne aplikacije Banke:

• “MF2GO” za pravna i fizička lica.
• (Dostupno na: Google Play i App Store) 

1.2.       Definicije i pojmovi

Politika privatnosti – Politika privatnosti MF banke a.d. Banja Luka;

Zakon – Zakon o zaštiti ličnih podataka;

Banka – MF banka a.d. Banja Luka;

Agencija – Agencija za zaštitu ličnih podataka

DPO – (Data Protection Officer) – Lice za zaštitu ličnih podataka

Lični podatak –  svaki podatak koji se odnosi na fizičko lice čiji je identitet utvrđen ili se može utvrditi;

Nosilac podataka –  fizičko lice čiji je identitet utvrđen ili čiji se identitet može utvrditi, posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog lica (uključujući klijente Banke i korisnike Mobilnih aplikacija);   

Posebne kategorije podataka – obrada ličnih podataka koji otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije lica, podataka o zdravlju ili podataka o spolnom životu ili seksualnoj orijentaciji (npr. otisak prsta ili prepoznavanje lica koje se može koristiti za prijavu u Mobilne aplikacije, ukoliko je ta funkcionalnost omogućena i korisnik je aktivira); 

Zbirka ličnih podataka – svaki strukturirani skup ličnih podataka koji su dostupni u skladu s posebnim kriterijima, bez obzira na to da li su centralizirani, decentralizirani ili rasprostranjeni na funkcionalnoj ili geografskoj osnovi;  

Obrada ličnih podataka – svaki postupak ili skup postupaka koji se obavlja na ličnim podacima ili na skupovima ličnih podataka, automatiziranim ili neautomatiziranim sredstvima, kao što su: prikupljanje, evidentiranje, organizacija, strukturiranje, čuvanje, prilagođavanje ili izmjena, pronalaženje, ostvarivanje uvida, upotreba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničenje, brisanje ili uništavanje;

Kontrolor – MF banka a.d. Banja Luka koja samostalno ili s drugim određuje svrhe i sredstva obrade ličnih podataka na osnovu zakona ili propisa; 

Obrađivač – fizičko ili pravno lice, javni organ koji obrađuje lične podatke u ime kontrolora podataka (uključujući Tehničkog partnera za Mobilne aplikacije); 

Tehnički partner / Developer Mobilnih aplikacija – Kompanija ASEE d.o.o. Sarajevo, koju Banka angažuje za razvoj, održavanje i tehničku podršku Mobilnih aplikacija i koja u tom svojstvu deluje kao Obrađivač podataka u ime Banke;

Treća strana – znači fizičko ili pravno lice, javni organ, Agencija ili drugo tijelo koje nije nosilac podataka, kontrolor podataka, obrađivač ni lica koja su ovlaštena za obradu ličnih podataka pod neposrednom nadležnošću kontrolora podataka ili obrađivača; 

Saglasnost nosioca podataka – svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje volje nosioca podataka kada on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu ličnih podataka koji se na njega odnose; 

Primalac – fizičko ili pravno lice, javni organ kome se otkrivaju lični podaci, nezavisno od toga da li je u pitanju treća strana. Javni organi koji mogu primiti lične podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primaocima, ali obrada tih podataka mora biti u skladu s važećim pravilima o zaštiti podataka prema svrhama obrade;

Agencija za zaštitu ličnih podataka u BiH (u daljem tekstu: Agencija)  – nezavisan nadzorni organ za praćenje primjene Zakona, s ciljem zaštite osnovnih prava i sloboda fizičkih lica u vezi s obradom ličnih podataka u Bosni i Hercegovini; 

Lice za zaštitu ličnih podataka DPO – u Banci je zaposleni imenovan odlukom Uprave Banke, kome se lica čiji se podaci obrađuju i zaposleni Banke mogu obratiti po pitanjima i zahtjevima u vezi sa obradom ličnih podataka. 

2.  Opšte informacije o obradi ličnih podataka

2.1. Podaci o kontroloru

Kontrolor ličnih podataka je MF banka a.d. Banja Luka, Aleja Svetog Save br. 61, 78000 Banja Luka, JIB br. 4402660380006, MB br. 11022685, broj telefona: +387 51 240 300​, broj faxa: +387 51 232 091​, e-mail: office@mfbanka.com​, web stranica: www.mfbanka.com ​.

2.2. Podaci o kontaktu za zaštitu ličnih podataka

Službenik za zaštitu ličnih podataka (DPO) dostupan je putem e-mail adrese:

pracenjeuskladjenostiposlovanja@mfbanka.com i adrese: Aleja Svetog Save br. 61, 78000 Banja Luka.

2.3. Vrste ličnih podataka koje Banka obrađuje

Banka u okviru obavljanja svoje zakonite djelatnosti, prikuplja i obrađuje lične podatke neophodne za pružanje bankarskih usluga i ispunjavanje zakonskih obaveza. Vrste podataka zavise od konkretnog proizvoda ili usluge koju klijent koristi.

Neke od kategorija podataka koje Banka prikuplja prilikom obavljanja svojih djelatnosti, odnosno usluga su:

• Opšti identifikacioni lični podaci

Obuhvata (primjeri): ime I prezime, JMBG, identifikacioni/serijski broj ličnog dokumenta, datum I mjesto/država rođenja, adresa prebivališta/boravišta (uključujući I podatke o nekretninama u slučaju korištenja nekih od proizvoda banke), poresko prebivalište, državljanstvo, spol, podaci iz ličnih isprava (broj isprave, izdavalac), kopija ličnog identfikacijskog dokumenta, PEL podaci (politička eksponiranost).

• Kontaktni I komunikacijski podaci

Obuhvata (primjeri): fiksni I mobilni brojevi, e-mail adrese, adresa za korespondenciju, podaci uneseni u web kontakt-forme I drugi uobičajeni podaci koji se koriste u korespodenciji banke sa klijentima.

• Finansijski podaci (ekonomski, kreditni i sl.)

Obuhvata (primjeri): prihodi, rashodi, stanje I istorija transakcija, salda, podaci o transakcijskim računima (IBAN), kapital, ulaganja, podaci iz kreditnih registara, brojevi kartica, podaci o načinu na koji koristite proizvode i usluge Banke, zaduženja kod drugih institucija, kreditni rejting, procijenjena kreditna sposobnost, podaci iz baza kojima banka ima pristup, podaci u vezi sa poreskom rezidentnošću.

• Tehnički podaci nastali korištenjem usluga/kanala

Obuhvata (primjeri): IP adresa, geolokacija, tip uređaja, operativni sistem, verzija preglednika/aplikacije za e-bankarstvo (uključujući mogućnost pristupa kameri za npr. sken QR kodova ili dokumenata), identifikatori uređaja, kolačići, zapisi pristupa/logova i grešaka, zapisi o korisničkim računima potrebnim za on-line usluge i proizvode Banke.

• Podaci prikupljeni putem uobičajene komunikacija, snimaka komunikacije i drugih zapisa komunikacije (call-recordings, chat, CCTV)

Obuhvata (primjeri): upis podataka prilikom posjete poslovnicama/centrali, snimke telefonskih poziva kontakt-centra, transkripti chat-poruka, pisma, prigovori i upiti u vezi s prigovorima (uključujući i sporove s Bankom), snimke videonadzora u poslovnicama, bankomatima i prostorijama banke.

• Sociodemografski podaci

Obuhvata (primjeri): podaci o zanimanju, radnom statusu i nivou obrazovanja.

• Podaci o trećim osobama i povezanim subjektima

Obuhvata (primjeri): identifikacioni podaci o sudužnicima, jemcima, korisnicima kartica, punomoćnicima, zastupnicima, starateljima, podaci o vlasnicima imovine koja služi kao osiguranje, PEL podaci (najbliži članovi porodice/bliži saradnici).

• Podaci o maloljetnim licima i njihovim roditeljima/starateljima (računi I štednje namijenjene maloljetnim licima)

Obuhvata (primjeri): Rodni list maloljetnog lica (sa pripadajućim podacima iz takvog dokumenta), identifikacioni podaci roditelja/staratelja (uključuje pojedine podatke pobrojane u stavu iznad: Opšti identifikacioni  lični podaci), podaci o adresi i prebivalište uključenih ugovornih strana, te drugi podaci pobrojani u kategorijama iznad shodno prirodi ovog odnosa.

Specifično za Mobilne aplikacije (MF BIZ asistent i mMFBanka), Banka prikuplja i obrađuje sledeće kategorije podataka:

• Podaci za identifikaciju i autentifikaciju: Korisničko ime, lozinka, PIN, biometrijski podaci (otisak prsta, prepoznavanje lica – ukoliko korisnik aktivira ovu opciju na svom uređaju za prijavu u aplikaciju). Banka ne čuva same biometrijske podatke, već koristi mehanizme operativnog sistema uređaja za potvrdu identiteta.
• Kontakt podaci: Broj telefona (za registraciju, verifikaciju i komunikaciju), e-mail adresa (opciono, za komunikaciju).
• Finansijski podaci: Informacije o računima dostupnim kroz aplikaciju (brojevi računa, stanje, promet), detalji transakcija izvršenih putem aplikacije (podaci o primaocu, iznos, svrha plaćanja, vrijeme transakcije).
• Tehnički podaci: Informacije o uređaju (model, tip i verzija operativnog sistema, jedinstveni identifikator uređaja), IP adresa, podaci o verziji Mobilne aplikacije koju korisnik koristi, dijagnostički podaci o radu aplikacije i izveštaji o greškama (crash logs) u anonimiziranom ili pseudoanonimiziranom obliku radi otklanjanja tehničkih problema i poboljšanja performansi.
• Podaci prikupljeni uz dozvolu: Ukoliko Mobilna aplikacija nudi takve funkcionalnosti i korisnik da saglasnost putem podešavanja operativnog sistema svog uređaja, Banka može pristupiti:
  • Kameri: Isključivo radi skeniranja QR kodova ili dokumenata (npr. uplatnica) kako bi olakšala unos podataka za plaćanje ili druge usluge unutar aplikacije.
  • Ostale dozvole (npr. Lokacija, Kontakti): Ako aplikacija zahtjeva dodatne dozvole, njihova svrha će biti jasno objašnjena u trenutku traženja dozvole i/ili u Odeljku 2.12 ove Politike.

Informacije o kategorijama Vaših ličnih podataka koje Banka obrađuje u vezi sa određenom vrstom bankarske i/ili finansijske usluge koju pruža kao kontrolor obrade, a koje nisu obuhvaćene ovom Politikom, Banka će Vam dostaviti prilikom njihovog prikupljanja, u pisanom obliku ili putem drugih sredstava komunikacije (na primjer elektronskim putem).

2.4. Svrha i pravni osnov obrade ličnih podataka

Banka obrađuje lične podatke uz poštovanje načela zakonitosti, poštenja i transparentnosti, isključivo u svrhe koje su konkretno određene, izričite, opravdane i zakonite.

Pravne osnove i svrhe obrade ličnih podataka

Slijedi objedinjeni i sažet prikaz pravnih osnova i svrha obrade ličnih podataka koje Banka primjenjuje:

• Poštovanje zakonskih obaveza (pravni osnov)

Banka obrađuje lične podatke kada je takva obrada neophodna radi ispunjavanja zakonskih i regulatornih obaveza, kao i drugih svrha izričito određenih zakonima i drugim primjenjivim propisima, naročito iz oblasti bankarskog poslovanja, platnog prometa, sprečavanja pranja novca i finansiranja terorizma, poreskih obaveza i drugih povezanih oblasti. Obrada se vrši i radi postupanja po pojedinačnim aktima, zahtjevima i nalozima nadležnih organa i institucija Bosne i Hercegovine, entiteta ili drugih ovlaštenih tijela, u skladu sa zakonom.

Svrhe obrade obuhvataju naročito: ispunjavanje obaveza izvještavanja i saradnje sa nadležnim i nadzornim organima, vođenje propisanih evidencija i registara, provođenje zakonom propisanih kontrola i mjera, kao i upravljanje regulatornim i poreskim zahtjevima kojima je Banka podvrgnuta. 

Obrada ličnih podataka u ove svrhe predstavlja zakonsku obavezu Banke i ne zahtijeva saglasnost nosioca podataka. Ukoliko nosilac podataka ne dostavi lične podatke koji su propisani kao obavezni, Banka može odbiti uspostavljanje ugovornog odnosa ili pružanje ugovorene usluge, odnosno može ograničiti ili raskinuti već postojeći poslovni odnos, u skladu sa važećim propisima.

• Izvršenje ugovora i radnje prije sklapanja ugovora (pravni osnov)

Obrada je neophodna za sklapanje i izvršavanje ugovora u kojem je nosilac podataka stranka, ili za preduzimanje radnji na njegov zahtjev prije sklapanja ugovora.

Svrhe obrade: uspostava i vođenje poslovnog odnosa, ugovaranje i pružanje bankarskih/finansijskih usluga, komunikacija u vezi s ugovorom, dostava dokumentacije na ugovoreni način.

Posljedice nepružanja podataka: ako nosilac podataka odbije dati podatke koji su neophodni za sklapanje ili izvršenje ugovora, Banka može biti spriječena da sklopi ili izvrši ugovor, odnosno može odbiti zasnovati, ograničiti ili raskinuti poslovni odnos.

• Legitimni interesi Banke ili trećih strana (pravni osnov)

Obrada ličnih podataka može se zasnivati na legitimnom interesu Banke ili treće strane kada je to neophodno za legitimne poslovne potrebe i kada ti interesi ne prevladavaju nad pravima, slobodama i interesima nosioca podataka.

Svrhe obrade (primjeri)

Banka može obrađivati lične podatke radi ostvarenja sljedećih legitimnih interesa (primjeri):

• upravljanje rizicima (kreditni, operativni, reputacioni i drugi rizici), uključujući procjene i mjere za sprečavanje prevara i provjere vjerodostojnosti dokumentacije; osiguranje fizičke i informaciono-komunikacione sigurnosti (videonadzor, kontrola pristupa, evidencije posjetilaca, IT održavanje, sigurnosne mjere i kontinuitet poslovanja); unapređenje poslovanja, razvoj i optimizacija proizvoda i usluga te provođenje mjera za kontinuirano poboljšanje ponude; provođenje aktivnosti direktnog marketinga, istraživanja tržišta, anketa, uzorkovanja i statističkih analiza u opsegu koji nije suprotan pravilima o zaštiti podataka i koji je proporcionalan legitimnim interesima Banke; segmentacija klijenata i izrada izvještaja radi prilagođavanja ponude i poboljšanja korisničkog iskustva (npr. obavijesti relevantne za korištenje usluge); interne administrativne potrebe i razmjena podataka unutar organizacionih jedinica Banke, te zaštita lica I imovine i informacionih sistema; pokretanje i odbrana pravnih postupaka te drugo postupanje potrebno radi zaštite zakonitih prava i interesa Banke ili trećih lica; dodatne procjene rizika.

Opseg podataka

Obrada se provodi u najmanjem potrebnom obimu koji je razuman i proporcionalan svrsi (npr. identifikacijski podaci, kontakt podaci, transakcijski i finansijski podaci, podaci o korištenju usluga, evidencije pristupa i snimke videonadzora kad je to opravdano).

Procjena i ravnoteža interesa (LIA)

Prije svake obrade na osnovu legitimnog interesa, Banka sprovodi procjenu (Legitimate Interest Assessment) kojom utvrđuje:

1. postojanje legitimne svrhe;
2. neophodnost obrade za ostvarenje te svrhe;
3. proporcionalnost i ravnotežu između interesa Banke i prava nosioca podataka.
   U procjeni se posebno vodi računa o zaštiti prava i sloboda nosilaca podataka, s dodatnom pažnjom kada je nosilac podataka dijete.

Pravo na prigovor i učinak nepružanja podataka

• Nosilac podataka ima pravo uložiti prigovor na obradu koja se zasniva na legitimnom interesu. Banka će, u skladu sa zakonom, razmotriti prigovor i izvršiti odgovarajuću procjenu interesa te obavijestiti nosioca podataka o ishodu.
• Ako je određena obrada zasnovana na legitimnom interesu neophodna za pružanje ili nastavak pružanja usluge, nepružanje ili povlačenje relevantnih podataka može onemogućiti Banku da tu uslugu pruži ili nastavi pružati.

Dodatna napomena

Banka preduzima tehničke i organizacione mjere za zaštitu podataka i osigurava da se obrada na osnovu legitimnog interesa provodi samo u mjerama u kojima je to nužno i zakonito, te u skladu sa principima minimizacije podataka i transparentnosti.

• Saglasnost nosioca podataka (pravni osnov)

Obrada ličnih podataka može se zasnivati na izričitoj saglasnosti nosioca podataka, pri čemu Banka obrađuje lične podatke isključivo u svrhe koje su tom saglasnošću jasno obuhvaćene. Davanje saglasnosti je u potpunosti dobrovoljno, a nosilac podataka ima pravo da saglasnost u bilo kojem trenutku povuče, u cijelosti ili djelimično, bez negativnih posljedica po važeći ugovorni odnos. Povlačenje saglasnosti ne utiče na zakonitost obrade izvršene prije njenog povlačenja.

Na osnovu date saglasnosti, Banka može obrađivati lične podatke naročito u sljedeće svrhe:

• provođenje direktnog marketinga i informisanje o ponudama, novim ili postojećim proizvodima i uslugama Banke, članica Grupe i ugovornih partnera, uključujući dostavljanje promotivnih materijala, brošura, publikacija i drugih obavještenja; dostavljanje individualiziranih ili automatizovanih ponuda zasnovanih na izradi profila, u skladu s važećim propisima; provođenje istraživanja tržišta, anketa, uzorkovanja, statističkih analiza i drugih aktivnosti radi ispitivanja zadovoljstva, utvrđivanja načina korištenja usluga, segmentacije klijenata i prilagođavanja ponude; učešće nosioca podataka u nagradnim igrama i sličnim promotivnim aktivnostima, kada je to primjenjivo.

Prije započinjanja obrade ličnih podataka na osnovu saglasnosti, nosilac podataka će biti jasno i posebno informisan o svrsi i obimu takve obrade, te će se saglasnost tražiti na poseban i nedvosmislen način.

Ukoliko nosilac podataka ne da saglasnost ili je naknadno povuče u cijelosti ili djelimično, u tom slučaju, komunikacija sa nosiocem podataka biće ograničena na obavezna i nužna obavještenja, kao što su opšte informacije, ispunjavanje ugovornih obaveza, sigurnosna obavještenja ili informacije o proizvodima i uslugama koje nosilac podataka već koristi.

Specifično za Mobilne aplikacije, podaci se obrađuju u sljedeće svrhe:

• Omogućavanje korišćenja funkcionalnosti Mobilnih aplikacija: Pregled stanja i prometa po računima, izvršavanje domaćih i međunarodnih plaćanja, upravljanje karticama, menjački poslovi, i druge usluge dostupne kroz aplikaciju.
• Autentifikacija i autorizacija: Potvrda identiteta korisnika aplikacije prilikom prijave i potvrda transakcija koje inicira.
• Održavanje sigurnosti: Praćenje sumnjivih aktivnosti, sprečavanje neovlašćenog pristupa i zaštita od prevara.
• Tehničko održavanje i unapređenje: Analiza rada aplikacije, dijagnostika i otklanjanje grešaka, poboljšanje performansi i korisničkog iskustva (često korišćenjem anonimiziranih ili agregiranih podataka).
• Korisnička podrška: Pružanje pomoći u vezi sa korišćenjem Mobilnih aplikacija.
• Komunikacija: Slanje važnih servisnih obaveštenja vezanih za korišćenje aplikacije ili promjene u uslovima korišćenja.

Pravni osnov za obradu podataka putem Mobilnih aplikacija je prvenstveno izvršenje ugovora o korišćenju usluga mobilnog bankarstva zaključenog između korisnika aplikacije i Banke, kao i ispunjavanje zakonskih obaveza Banke i legitimni interes Banke (npr. za sigurnost i unapređenje usluge). Za određene obrade, kao što je korišćenje biometrije za prijavu ili pristup kameri, osnov je saglasnost korisnika aplikacije (koju isti daje aktiviranjem opcije ili davanjem dozvole na uređaju).

Davanje ličnih podataka za korišćenje Mobilnih aplikacija je neophodno za pružanje usluge. Ako korisnik aplikacije ne želi dati tražene podatke ili neophodne dozvole, neće moći koristiti funkcionalnosti mobilnih aplikacija.

3. Izvori ličnih podataka

Banka, kao kontrolor podataka, najčešće dolazi do vaših podataka direktno od vas kao nosioca podataka, putem predviđenih komunikacionih kanala. Najčešći primjer takvog načina prikupljanja podataka jeste podnošenje zahtjeva za ugovaranje pojedine usluge ili proizvoda Banke, pri čemu se podaci prikupljaju putem propisanih zahtjeva i obrazaca. U nekim slučajevima, podaci se mogu pribaviti i iz javno dostupnih izvora i registara.

Ako Banka dođe u posjed Vaših ličnih podataka putem trećih izvora, a ne neposredno od Vas (na primjer u situacijama kada nastupate kao punomoćnik, ovlašteno lice po računu, korisnik kartica, krajnji korisnik određene usluge, kontakt-osoba pravnog lica ili u drugim sličnim ulogama), Banka će Vas o takvoj obradi obavijestiti u primjerenom roku od trenutka pribavljanja podataka, a najkasnije u roku od 30 dana. Obavještenje će, u zavisnosti od okolnosti, biti dostavljeno putem Vaše poslovne e-mail adrese ili druge uobičajene kontakt-adrese koja se koristi u komunikaciji s pravnim licem, odnosno najkasnije prilikom prve komunikacije Banke s Vama (kada su ovi podaci prikupljeni u cilju komunikacije sa nosiocem). Radi uspostavljanja poslovnog odnosa s poslovnim subjektom (pravnim licem ili fizičkim licem koje u okviru svoje registrovane poslovne djelatnosti ili slobodnog zanimanja nastupa kao poslovni subjekt) i pružanja zatražene usluge ili proizvoda iz ponude Banke, osim podataka o poslovnom subjektu, neophodni su i lični podaci fizičkih lica koja neposredno ili posredno učestvuju u poslovnim odnosima poslovnog subjekta s Bankom. Banka nije obavezna da pruži navedene informacije ukoliko ste već upoznati s predmetnom obradom ili već raspolažete relevantnim informacijama, ako bi pružanje takvih informacija bilo nemoguće ili bi zahtijevalo nesrazmjerne napore, ako je pribavljanje ili pružanje informacija izričito uređeno važećim propisima Bosne i Hercegovine kojima Banka podliježe kao kontrolor podataka i koji predviđaju odgovarajuće mjere zaštite Vaših legitimnih interesa, ili ako se lični podaci moraju čuvati kao povjerljivi u skladu s obavezom čuvanja poslovne tajne propisanom pravom Bosne i Hercegovine.

4. Prava nosioca podataka

Nosilac podataka ima sljedeće prava, u vezi sa obradom njegovih ličnih podataka:

1. Pravo na pristup ličnom podatku;
2. Pravo na ispravku i dopunu;
3. Pravo na brisanje;
4. Pravo na ograničenje obrade;
5. Pravo na prenosivost podataka;
6. Pravo na prigovor;
7. Pravo na opoziv saglasnosti za obradu;
8. Pravo nosioca podataka da se na njega ne primjenjuje odluka donijeta isključivo na osnovu automatizovane obrade.

Pravo na pristup ličnom podatku

Nosilac podataka ima pravo da od Banke zahtjeva informaciju da li se obrađuju njegovi lični podaci, te ukoliko se obrađuju ima pravo na pristup ličnim podacima i dobijanje relevantnih informacija (svrha obrade, vrste ličnih podataka itd.)  Na zahtjev nosioca podataka, Banka izdaje kopiju ličnih podataka koje obrađuje.

Pravo na ispravku i dopunu

Nosilac podataka ima pravo da od banke, bez nepotrebnog odlaganja, zatraži ispravku netačnih ličnih podataka koji se na njega odnose. U skladu sa svrhom obrade, nosilac podataka ima i pravo da zahtijeva dopunu nepotpunih ličnih podataka, kao i njihovo ažuriranje.

Pravo na brisanje

Nosilac podataka ima pravo da zahtijeva brisanje ličnih podataka koji se na njega odnose, bez nepotrebnog odlaganja. Banka je dužna da bez nepotrebnog odlaganja obriše lične podatke kada oni više nisu potrebni u odnosu na svrhu za koju su prikupljeni ili dalje obrađivani, kada nosilac podataka povuče saglasnost na kojoj se obrada zasniva, a ne postoji drugi pravni osnov za obradu, kada nosilac podataka uloži prigovor na obradu, a ne postoji pretežan zakonski osnov za takvu obradu, kada su lični podaci obrađivani nezakonito, kada je brisanje potrebno radi postupanja u skladu sa zakonskom obavezom kojoj banka podliježe, kao i kada su lični podaci prikupljeni u vezi sa uslugama informacionog društva banke od lica koje nema navršenih 16 godina.

Pravo na ograničenje obrade

Nosilac podataka ima pravo da od Banke zatraži ograničenje obrade svojih ličnih podataka u zakonom propisanim situacijama, kao što su: kada je osnovano dovedena u pitanje tačnost ličnih podataka ili zakonitost njihove obrade, kada podaci više nisu neophodni za svrhe radi kojih se obrađuju, kada je uložen prigovor na obradu, a Banka vrši procjenu da li njen pravni osnov za obradu ima prednost u odnosu na interese ili prava nosioca podataka koji je podnio zahtjev.

Pravo na prenosivost podataka – Nosilac podataka ima pravo da lične podatke koje je prethodno dostavio banci primi od banke u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku. Takođe, nosilac podataka ima pravo da te podatke prenese drugom kontroloru, bez ometanja od strane banke, pod uslovima propisanim zakonom.

Pravo na prigovor

Nosilac podataka ima pravo da, ukoliko to smatra opravdanim s obzirom na svoju posebnu situaciju, u svakom trenutku uloži prigovor banci na obradu svojih ličnih podataka koja je neophodna radi obavljanja poslova od javnog interesa ili izvršavanja zakonom propisanih ovlašćenja banke, odnosno na obradu koja se vrši radi ostvarivanja legitimnih interesa banke ili treće strane, osim u slučajevima kada nad tim interesima pretežu interesi, osnovna prava ili slobode nosioca podataka koji zahtijevaju zaštitu ličnih podataka, naročito kada je nosilac podataka maloljetno lice. U takvim slučajevima banka će obustaviti obradu ličnih podataka nosioca koji je podnio prigovor, osim ako postoje zakoniti razlozi za obradu koji pretežu nad interesima, pravima ili slobodama nosioca podataka ili ako je obrada povezana sa podnošenjem, ostvarivanjem ili odbranom pravnog zahtjeva. Nosilac podataka ima pravo da u svakom trenutku uloži prigovor na obradu svojih ličnih podataka u svrhe direktnog oglašavanja. Ukoliko se prigovor uloži, banka će prestati sa daljom obradom ličnih podataka u te svrhe.

Pravo na opoziv saglasnosti za obradu 

Saglasnost koju nosilac podataka daje Banci važi isključivo za svrhe obrade ličnih podataka koje su u njoj izričito navedene i ostaje na snazi do njenog povlačenja. Nosilac podataka ima pravo da u bilo kojem trenutku povuče svoju saglasnost, pri čemu povlačenje saglasnosti ne utiče na zakonitost obrade koja je izvršena na osnovu saglasnosti prije njenog povlačenja. Nosilac podataka se prije davanja saglasnosti jasno obavještava o ovom pravu, a povlačenje saglasnosti mora biti jednako jednostavno kao i njeno davanje.

Pravo nosioca podataka da se na njega ne primjenjuje odluka donijeta isključivo na osnovu automatizovane obrade

Nosilac podataka ima pravo da se na njega ne primjenjuje odluka zasnovana isključivo na automatizovanoj obradi, uključujući i profilisanje, koja proizvodi pravni učinak koji se na njega odnosi ili na sličan način značajno utiče na njega.

Ovo pravilo ne primjenjuje se ako je odluka:

1. a) potrebna za zaključivanje ili izvršenje ugovora između nosioca podataka i Banke;
2. b) dopuštena zakonom koji se primjenjuje na kontrolora podataka, odnosno Banku, i kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode te legitimne interese nosioca podataka; ili
3. v) zasnovana na izričitoj saglasnosti nosioca podataka.

U slučajevima a) i v) kada je odluka zasnovana na automatizovanoj obradi, uključujući i profilisanje, Banka preduzima odgovarajuće mjere za zaštitu prava i sloboda te legitimnih interesa nosioca podataka, a najmanje: pravo na učestvovanje fizičkog lica u donošenju odluke, pravo izražavanja vlastitog stava i pravo na osporavanje odluke.

Nosilac podataka gore navedena prava može ostvariti podnošenjem Zahtjeva za ostvarivanje prava nosioca podataka (dostupan na: internet stranici Banke www.mfbanka.com i u prostorijama Banke) ili na drugi primjeren način.

• Zahtjev se može podnijeti:
  pisanim putem, poštom na adresu: MF banka a.d. Banja Luka, Službeniku za zaštitu ličnih podataka (DPO); Aleja Svetog Save 61 78000 Banja Luka;
• lično, u bilo kojoj poslovnici Banke;
• elektronski, putem e-mail adrese: pracenjeuskladjenostiposlovanja@mfbanka.com.

Izuzetno, nosilac podataka može se obratiti i usmeno u prostorijama Banke, a informacije mu se mogu pružiti i usmeno, pod uslovom da je njegov identitet prethodno pouzdano utvrđen.

Ako Banka ima opravdanu sumnju u identitet podnosioca zahtjeva, zatražit će dodatne informacije isključivo radi potvrde identiteta. Banka u svakom pojedinačnom slučaju procjenjuje koje su informacije neophodne za pouzdanu identifikaciju, pri čemu dodatni zahtjevi moraju biti proporcionalni svrsi i ograničeni samo na podatke nužne za provjeru identiteta.

4.1.               Primaoci i prenos ličnih podataka ličnih podataka

Banka lične podatke nosilaca podataka prvenstveno obrađuje na teritoriji Bosne i Hercegovine. Izuzetno, lični podaci mogu se prenijeti ili obrađivati i izvan Bosne i Hercegovine, odnosno u trećim zemljama, isključivo pod sljedećim uslovima:

• kada je takav prenos propisan zakonom ili drugom važećom pravnom osnovom koja obavezuje Banku;
• kada je prenos neophodan radi izvršenja naloga nosioca podataka ili realizacije ugovorene usluge (npr. platni nalozi, transakcije ili poslovi koji se odnose na promet vrijednosnih papira);
• kada je nosilac podataka dao izričitu i odgovarajuću saglasnost za prenos ličnih podataka u treće zemlje;
• kada je prenos potreban iz tehničkih ili operativnih razloga, uključujući angažovanje pružalaca usluga iz drugih država radi realizacije ugovora ili usluge koja podrazumijeva obradu ličnih podataka.

U slučajevima prenosa ličnih podataka izvan Bosne i Hercegovine, Banka osigurava da se takav prenos vrši u skladu sa važećim propisima, na osnovu odluka nadležnih organa o primjerenosti nivoa zaštite, odnosno uz primjenu odgovarajućih zaštitnih mjera ili zakonom propisanih izuzetaka. Smatra se da je adekvatan nivo zaštite obezbijeđen u onim državama, dijelovima teritorije ili sektorima, ili međunarodnim organizacijama, za koje je Evropska unija utvrdila da pružaju takav nivo. Odluku o adekvatnosti nivoa zaštite donosi Savjet ministara Bosne i Hercegovine na prijedlog Agencije za zaštitu ličnih podataka. U slučajevima kada se lični podaci prenose u državu, na dio njene teritorije, u određeni sektor ili međunarodnu organizaciju za koju nije utvrđen adekvatan nivo zaštite, prenos je moguć samo ako kontrolor podataka ili obrađivač obezbijedi odgovarajuće zaštitne mjere, te ako su nosiocu podataka obezbijeđena ostvariva prava i djelotvorna sudska zaštita. U posebnim slučajevima, prenos ličnih podataka u državu ili međunarodnu organizaciju za koju ne postoji odluka o adekvatnosti niti odgovarajuće zaštitne mjere, dopušten je samo pod jednim od sljedećih uslova: ako nosilac podataka da izričitu saglasnost nakon upoznavanja s rizicima; ako je prenos neophodan za izvršenje ugovora sa nosiocem ili sprovođenje predugovornih mjera; ako je neophodan za sklapanje ili izvršenje ugovora u interesu nosioca; ako je neophodan iz važnih razloga javnog interesa koji su propisani zakonom; ako je neophodan za postavljanje, ostvarivanje ili odbranu pravnih zahtjeva; ako je neophodan radi zaštite vitalnih interesa nosioca ili drugog lica kada nosilac nije u stanju da da saglasnost; ili ako se prenos vrši iz javnog registra na koji imaju uvid lica sa legitimnim interesom, i to samo u obimu dozvoljenom posebnim zakonom.

U svakom slučaju, Banke će u svakoj situaciji u kojoj se javi potreba ili neophodnost prenosa postupati na način utvrđen Zakonom o zaštiti ličnih podataka, kao i drugim primjenjivim zakonskim i podzakonskim aktima, ukoliko takvi postoje.

Detaljnije informacije, kada je to slučaj, o svrsi, obimu i uslovima prenosa ličnih podataka u inostranstvo nosiocima podataka dostupne su u dokumentaciji koja im se uručuje prilikom ugovaranja konkretnih proizvoda i usluga Banke, kao i u drugim informacijama koje su objavljene ili dostupne u poslovnicama Banke.

Primaoci ličnih podataka su ovlašćeni zaposleni Banke koji podatke obrađuju u svrhu izvršavanja svojih radnih zadataka.

Banka lične podatke nosilaca podataka može dostaviti trećim licima samo na jednoj od sljedećih pravnih osnova:

1. na temelju izričite saglasnosti nosioca podataka;
2. radi izvršenja ugovora u kojem je nosilac podataka ugovorna strana; ili
3. na temelju zakonske ili podzakonske obaveze/mogućnosti.

Kategorije primalaca i svrhe dostave

Lični podaci mogu se proslijediti sljedećim vrstama primalaca, u mjeri i za svrhe koje su nužne i propisane:

1. Državna i regulatorna tijela
   primjer: nadzorni organi, porezne uprave, sudovi, tužilaštva i druga državna tijela kojima je Banka zakonom obavezna dostaviti podatke (npr. u okviru sprečavanja pranja novca, poreskih obaveza ili drugih zakonskih zahtjeva).
2. Drugi kontrolori
   Kad je to potrebno za pružanje usluge, podaci se mogu dijeliti s drugim kontrolorima — npr. drugim bankama, procesorima plaćanja ili kartičnim organizacijama — radi izvršenja platnih naloga ili obrade transakcija.
3. Obrađivači podataka
   Licima kojima je Banka povjerila obradu podataka u svoje ime i na osnovu ugovora (npr. pružaoci usluga obrade dokumenata, arhiviranja, logistike, informatičkih i telekomunikacijskih usluga, agencije za naplatu potraživanja, pružaoci usluga prodaje i marketinga). Obrađivači postupaju prema uputama Banke i podliježu ugovornim i tehničko-organizacionim mjerama zaštite.
   • Kao primjer, tehnički partner/developer mobilnih aplikacija (npr. ASEE d.o.o., Sarajevo) može imati pristup podacima neophodnim za razvoj, održavanje i tehničku podršku mobilnih aplikacija (npr. tehnički podaci o uređaju, dijagnostički podaci). Pristup finansijskim detaljima nosioca podataka od strane takvih partnera dozvoljen je samo ako je tehnički nužan za rješavanje konkretnog problema i uz saglasnost nosioca podataka ili nalog Banke.

Uslovi i garancije

• Sva lica koja po prirodi posla imaju pristup ličnim podacima dužna su ih čuvati kao povjerljive i/ili kao bankarsku tajnu, u skladu sa Zakonom o bankama i drugim relevantnim propisima.
• Kada su trećim stranama povjerene obrade u ime Banke, to se vrši na osnovu pisanog ugovora koji obuhvata obaveze zaštite podataka i primjenu odgovarajućih tehničkih i organizacionih mjera.
• Detalji o svrsi obrade, kategorijama primalaca, pravnoj osnovi i drugim relevantnim informacijama sadržani su u dokumentima koje Banka uručuje prilikom ugovaranja usluga (obrazci, upitnici, ugovori i sl.) te su dostupni i u poslovnicama Banke.

Svi primaoci su obavezni da čuvaju poverljivost podataka (kao bankarsku i poslovnu tajnu) i da ih koriste isključivo u svrhu za koju su im povjereni.

4.2. Rokovi čuvanja ličnih podataka

Banka obrađuje i čuva lične podatke u skladu s važećim zakonima i regulatornim standardima te uz primjenu odgovarajućih tehničkih i organizacionih mjera sigurnosti. Period čuvanja (retencije) određuje se na osnovu pravnog osnova i svrhe obrade za svaku pojedinačnu kategoriju ličnih podataka.

Lični podaci čuvaju se:

1. a) tokom trajanja ugovornog odnosa sa Bankom ili dok postoji važeća saglasnost nosioca podataka za obradu;
2. b) onoliko dugo koliko je Banka zakonski obavezna (npr. radi ispunjenja obaveza prema propisima o sprečavanju pranja novca i finansiranja terorizma, Zakonu o bankama i sličnim normama) — pri čemu se, ukoliko važeći propisi propisuju specifičan rok, isti primjenjuje (uobičajeno do 10 godina od prestanka poslovnog odnosa kada je tako propisano, te u periodu od najmanje 10 godina od otvaranja računa i dana izvršenja platne transakcije);
3. c) za potrebe ostvarivanja zakonitih interesa Banke, u trajanju koji je striktno potreban za ostvarenje tog interesa i za koji je prethodno utvrđena proporcionalnost i opravdanost čuvanja.
4. d) u drugim slučajevima, samo u periodu koji je potreban za realizaciju svrhe radi koje su podaci prikupljeni, a pojedini podaci mogu se čuvati i u dužem periodu ukoliko će se obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhu naučnog ili istorijskog istraživanja ili u statističke svrhe.

Za svaku kategoriju ličnih podataka Banka definiše i dokumentuje konkretan rok čuvanja ili kriterijume po kojima se rok određuje (npr. priroda podataka, svrha obrade, zakonske obaveze, rokovi zastare, potencijalni sporovi). Po prestanku svrhe obrade ili isteku propisanog roka, relevantni lični podaci bit će izbrisani, uništeni ili trajno anonimizirani, osim u slučaju kada njihovo daljnje čuvanje proizilazi iz zakonske obaveze, sudskog/pravnog postupka ili je drugačije opravdano uz jasno definisan i ograničen rok. Ukoliko je ličnim podacima potrebno upravljati duže nego što to zahtijeva osnovna svrha (npr. zbog sudskih postupaka, arhiviranja u skladu sa zakonom ili drugih legitimnih razloga), Banka će o tome voditi internu evidenciju i primjeniti dodatne mjere zaštite radi očuvanja legitimnih interesa nosioca podataka.

Banka će, prilikom prikupljanja podataka ili uspostavljanja obrade, obavijestiti nosioca podataka o očekivanom periodu čuvanja ili, kada to nije moguće, o kriterijumima za određivanje toga perioda, osim ako pružanje takve obavijesti nije izuzeto ili ograničeno primjenjivim zakonom.

Podaci prikupljeni putem Mobilnih aplikacija (npr. logovi o korišćenju, dijagnostički podaci) čuvaju se u skladu sa internim politikama Banke, obično kraće vrijeme potrebno za analizu, otklanjanje grešaka ili ispunjenje regulatornih zahtjeva, osim ako se odnose na transakcije koje podliježu dužim zakonskim rokovima čuvanja.

4.3.               Donošenje odluke na osnovu automatizovane obrade podataka

Banka u određenim postupcima može primjenjivati automatizovanu obradu podataka, uključujući profilisanje. U takvim situacijama u potpunosti se poštuju odredbe važećih propisa i prava nosioca podataka navedena, a naročito pravo da se na nosioca podataka ne primijeni odluka koja se zasniva isključivo na automatizovanoj obradi i koja ima značajan uticaj na njega, osim ako je takva obrada zasnovana na zakonskom osnovu, neophodna za zaključenje ili izvršenje ugovora ili se provodi uz saglasnost nosioca podataka.

U pojedinim slučajevima Banka može da koristi automatizovano donošenje odluka, uključujući izradu profila, radi procjene ispunjenja ugovornih obaveza između Banke i nosioca podataka, o čemu će nosilac podataka biti upoznat prilikom komunikacije u cilju realizacije korištenja neke od usluga/proizvoda banke.

Kada je odluka donesena isključivo na osnovu automatizovane obrade, nosilac podataka ima pravo da zatraži da se takva odluka ne primjenjuje na njega, kao i da od Banke zahtijeva ljudsku intervenciju, iznese svoje mišljenje i ospori donesenu odluku.

Automatizovano donošenje odluka može se koristiti i u okviru postupka procjene podobnosti za korištenje usluga Banke, pri čemu ti procesi mogu biti u potpunosti automatizovani i bez neposrednog učešća zaposlenih. Dodatno, u određenim slučajevima primjene automatizovanog donošenja odluka, Banka će obezbijediti dodatne informacije, kao i kontakt putem kojeg nosilac podataka može iznijeti svoje stavove, ostvariti pravo na ljudsku intervenciju i osporiti odluku koja se zasniva isključivo na automatizovanoj obradi, uključujući profilisanje, ukoliko bi takva odluka proizvela pravne posljedice ili na drugi sličan način značajno uticala na nosioca podataka.

4.4.               Pravo na podnošenje prigovora Agenciji

Ako smatra da je obrada podataka o ličnosti izvršena suprotno odredbama Zakona, nosilac podataka ima pravo da podnese prigovor nadležnom tijelu za zaštitu ličnih podataka, odnosno Agenciji za zaštitu ličnih podataka (www.azlp.gov.ba). Adresa sjedišta: Dubrovačka 6, 71 000 Sarajevo. Agencija je nezavisan nadzorni organ zadužen za praćenje primjene ovog Zakona, s ciljem zaštite osnovnih prava i sloboda fizičkih lica u vezi s obradom ličnih podataka u Bosni i Hercegovini. Sjedište Agencije je u Sarajevu. Na sva pitanja organizacije, upravljanja i drugih aspekata značajnih za funkcionisanje Agencije primjenjuju se propisi kojima se reguliše organizacija rada organa uprave, osim ako posebnim Zakonom nije drugačije propisano.

4.5.               Mjere zaštite

Uzimajući u obzir stepen tehnološkog razvoja i troškove njihove primjene, kao i prirodu, obim, okolnosti i svrhe obrade, te vjerovatnoću nastupanja i nivo rizika za prava i slobode fizičkih lica, Banka je, prilikom određivanja načina obrade i tokom čitavog trajanja obrade, dužna da primjenjuje odgovarajuće tehničke i organizacione mjere radi obezbjeđivanja djelotvorne primjene načela zaštite ličnih podataka i usklađenosti sa odredbama ZZLP-a. Te mjere imaju za cilj zaštitu ličnih podataka od slučajnog ili nezakonitog uništenja, gubitka, izmjena, neovlašćenog otkrivanja ili pristupa, kao i obezbjeđivanje zaštite prava i sloboda lica na koja se podaci odnose.

Banka je dužna da kontinuiranom primjenom navedenih mjera osigura da se u svakom trenutku obrađuju isključivo oni lični podaci koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade, u skladu sa načelom minimizacije podataka. Ova obaveza odnosi se na broj prikupljenih podataka, obim i način njihove obrade, rokove čuvanja, kao i stepen njihove dostupnosti.

U zavisnosti od raspoloživih alata i konkretnih okolnosti obrade, prioritet u implementaciji imaju tehničke mjere koje se odnose na autentifikaciju, kontrolu fizičkog i logičkog pristupa sistemima i podacima (uključujući upravljanje lozinkama i autorizacije), klasifikaciju podataka i šifriranje, gdje je to primjenjivo, uključujući enkripciju podataka prilikom prenosa putem elektronskih komunikacionih mreža (npr. korištenjem SSL/TLS protokola za mobilne aplikacije).

Pored navedenog, Banka obezbjeđuje sprovođenje procedura za redovno testiranje, procjenu i unapređenje efikasnosti primijenjenih mjera, kontinuiranu obuku zaposlenih, kao i zaključivanje ugovora sa obrađivačima podataka, uključujući ASEE d.o.o. Sarajevo, kojima se ti subjekti obavezuju na primjenu odgovarajućih mjera zaštite ličnih podataka.

4.6.   Dozvole mobilnih aplikacija

Da bi Mobilne aplikacije mogle da pruže određene funkcionalnosti, mogu zahtjevati pristup određenim resursima ili informacijama na mobilnom uređaju korisnika. Aplikacija će tražiti saglasnost korisnika prije prvog pristupa tim resursima putem standardnih dijaloga operativnog sistema uređaja nosioca podataka (Android ili iOS). Dozvole koje aplikacija može tražiti uključuju:

• Kamera: Omogućava korisniku da koristi kameru uređaja za skeniranje QR kodova (npr. za brza plaćanja) ili za skeniranje dokumenata (npr. uplatnica) radi automatskog popunjavanja podataka u platnom nalogu. Aplikacija pristupa kameri samo kada korisnik aktivno pokrene funkciju koja je zahtjeva.
• Biometrija (Otisak prsta / Prepoznavanje lica): Ako uređaj korisnika podržava i korisnik aktivira ovu opciju, aplikacija može koristiti biometrijske senzore uređaja korisnika kao alternativu za unos lozinke/PIN-a prilikom prijave ili autorizacije transakcija. Banka ne prikuplja niti čuva biometrijske podatke korisnika; koristi se samo potvrda o uspešnoj autentifikaciji od strane operativnog sistema.
• Notifikacije: Omogućava aplikaciji da šalje korisniku push notifikacije (npr. o uspešnim transakcijama, važnim obaveštenjima Banke, sigurnosnim upozorenjima).
• Ostale dozvole: Ukoliko aplikacija bude zahtjevala dodatne dozvole (npr. pristup lokaciji za pronalaženje bankomata, pristup kontaktima za lakši unos primaoca plaćanja), svrha će biti jasno objašnjena prilikom traženja dozvole.

Korisnik u svakom trenutku može upravljati dozvolama koje je dao Mobilnim aplikacijama putem podešavanja (Settings) operativnog sistema svog mobilnog uređaja. Odbijanje ili povlačenje određene dozvole može onemogućiti korišćenje funkcionalnosti aplikacije koja zavisi od te dozvole.

5. Izmjene Politike privatnosti

Banka zadržava pravo da ažurira ovu Politiku privatnosti s vremena na vrijeme, kako bi odražavala promjene u praksama obrade podataka ili promjene u relevantnim zakonima. Sve izmjene će biti objavljene na web stranici Banke (www.mfbanka.com) i, ukoliko su značajne, Banka može obavjestiti nosioca podataka i putem drugih kanala (npr. putem Mobilne aplikacije ili e-maila). Banka preporučuje nosiocima podataka da redovno pregledaju ovu Politiku privatnosti.

5.1. Prilozi

• Prilog 1. Informacija o obradi podataka putem Video nadzora
• Prilog 2. Informacija o obradi podataka – proces selekcije kandidata za zaposlenje

Datum poslednje izmjene: 20.02.2026.