Varstvo osebnih podatkov
V družbi Mercator cenimo vašo zasebnost in tako ves čas skrbimo za varstvo osebnih podatkov ter sledimo načelom varne obdelave osebnih podatkov. V Politiki o varovanju osebnih podatkov, ki je v nadaljevanju, vam predstavljamo, katere vaše osebne podatke obdelujemo, kakšen je namen obdelave in tudi kakšne so vaše pravice v zvezi z obdelavo podatkov.
Politika varovanja osebnih podatkov
1. Uvodno določilo
2. Upravljavec in pooblaščena oseba za varstvo osebnih podatkov
3. Nameni in podlage za obdelavo osebnih podatkov
4. Posredovanje osebnih podatkov
5. Rok hrambe osebnih podatkov
6. Pravice posameznikov v zvezi z obdelavo osebnih podatkov
7. Pravica do vložitve pritožbe v zvezi z obdelovanjem osebnih podatkov
8. Varovanje podatkov
9. Veljavnost politike
1. Uvodno določilo
Mercator d.o.o. se zaveda in spoštuje vaše zaupanje, ki ga izkazujete s tem, ko nam posredujete in dovoljujete uporabo vaših osebnih podatkov. Z dokumentom Politika o varovanju osebnih podatkov (v nadaljevanju: politika) vas seznanjamo z nameni in podlago obdelav osebnih podatkov s strani Mercator d.o.o. ter vašimi pravicami na tem področju.
2. Upravljavec in pooblaščena oseba za varstvo osebnih podatkov
Upravljavec osebnih podatkov, ki se obdelujejo v skladu s to politiko, je Mercator d.o.o., Dunajska 107, 1000 Ljubljana (v nadaljevanju: Mercator).
V Mercatorju je pooblaščena oseba za varstvo osebnih podatkov družba Mikrocop, d. o. o., Ulica Ambrožiča Novljana 7, 1000 Ljubljana, ki je dosegljiva na elektronskem naslovu dpo@mercator.si.
3. Nameni in podlage za obdelavo osebnih podatkov
a) Obdelava na podlagi pogodbe
Posameznik je z izdajo gotovinske modre Pika kartice, plačilno-kreditne zelene ali zlate Pika kartice, z registracijo v Mercator Spletni trgovini, Portal Moja Pika ali v mobilno aplikacijo Moj M sprejel Splošna določila za izdajo in uporabo bonitetne oziroma plačilno-kreditne Pika kartice in s tem sklenil pogodbo z Mercatorjem kot izdajateljem Pika kartice, ki je sestavljena iz prošnje za izdajo Pika kartice in Splošnih določil za izdajo in uporabo bonitetne oz. plačilno-kreditne Pika kartice. Pogodba je sklenjena z izdajo Pika kartice. Na osnovi tega pravnega temelja Mercator izvaja naslednje obdelave:
- Bonitetni sistem: identifikacija posameznika, izdaja in obnova Pika kartice, podeljevanje, beleženje in koriščenje pik, dodeljevanje popustov, do katerih so upravičeni imetniki Pika kartice, izvajanje reklamacijskih postopkov, odkrivanje zlorab, obveščanje o pomembnih novostih in spremembah bonitetnega sistema, neposredno trženje ponudb izdelkov in storitev na prodajnih mestih Mercator, neposredno trženje izdelkov in storitev partnerjev. Osebne podatke zgolj v obsegu, ki je potreben za izvajanje obdelave, posredujemo pogodbenim obdelovalcem za tisk kartic, tisk neposredne pošte ter podjetjem, ki Mercatorju nudijo informacijsko podporo delovanja sistema zvestobe Pika kartice in Kontaktnega centra Mercator.
- Plačilna funkcija Pika kartice: identifikacija posameznika, izdaja in obnova Pika kartice, določanje višine limita, izvedba nakupov na obroke, izdaja mesečnega obračuna, prodaja terjatev, izterjava izplačil, blokada kartice zaradi izgube, kraje, neplačil ali odločitve imetnika, izvajanje reklamacijskih postopkov, odkrivanje zlorab, neposredno trženje ponudb, vezanih na plačilno obnašanje. Osebne podatke zgolj v obsegu, ki je potreben za izvajanje obdelave, posredujemo pogodbenim obdelovalcem za tisk kartic, tisk neposredne pošte, izterjavo obveznosti ter podjetjem, ki Mercatorju nudijo informacijsko podporo delovanja sistema zvestobe Pika in Kontaktnega centra Mercator.
- Mercator profil in Mercator spletišča: registracija in identifikacija ob ponovnem obisku spletišča, neposredno trženje.
- Moja Pika in Moj M: identifikacija, realizacija sprememb v osebnih podatkih, ki jih posameznik vnese, prikaz podatkov na zahtevo uporabnika, neposredno trženje.
- Spletna trgovina: izvedba spletnega nakupa, obveščanje o statusu naročila, dostava, izvedba plačila, dodeljevanje ugodnosti, izvajanje reklamacijskih postopkov, odkrivanje zlorab, izvajanje reklamacijskih postopkov. Podatke o naslovu posredujemo podjetju za dostavo blaga.
- Storitev M Sken: registracija in identifikacija ob ponovni uporabi storitve, izvedba nakupa, ponovni sken z namenom preprečevanja zlorab.
Sodelovanje v nagradnih igrah: Kadar sodelujete v kateri od nagradnih iger, ki jih organizira Mercator d.o.o. v okviru prijave k sodelovanju v nagradni igri posredujete vaše osebne podatke. Te podatke obdelujemo za namen izvedbe nagradne igre in v okviru nagradne igre za podelitev nagrad. Podatki so ime in priimek, naslov, e-naslov, telefonska številka, letnica rojstva, davčna številka (samo v primeru dobljene nagrade)
b) Obdelava na podlagi zakonitega interesa
Mercator lahko obdeluje osebne podatke na podlagi zakonitega interesa Mercatorja, ali tretje osebe, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika. Na podlagi tega pravnega temelja Mercator izvaja naslednje obdelave:
- Bonitetni sistem: analiza nakupnih podatkov v psevdonimizirani obliki za sprejemanje strateških in taktičnih odločitev, analiza nakupnih podatkov v anonimizirani obliki za posredovanje podatkov dobaviteljem, kontaktiranje posameznika z namenom anketiranja na temo bonitetnega sistema ali ponudbe izdelkov in storitev Mercatorja, neposredno trženje tudi na podlagi analiz osebnih podatkov, pri čemer se uporabijo le osnovni podatki pri uporabi Pika kartice, višina nakupa, način plačila, prodajno mesto in datum.
- Plačilna Pika kartica: analiza podatkov o plačilih s plačilno-kreditno Pika kartico v psevdonimizirani obliki za sprejemanje strateških in taktičnih odločitev, kontaktiranje posameznika z namenom anketiranja na temo plačilno-kreditne funkcije Pika kartice, neposredno trženje tudi na podlagi analiz osebnih podatkov, pri čemer se uporabijo le osnovni podatki pri uporabi Pika kartice, višina nakupa, način plačila, prodajno mesto in datum.
- Spletna trgovina: Prednostni prikaz v preteklosti kupljenih izdelkov posameznega kupca v Spletni trgovini, neposredno trženje, analiza nakupnih transakcij v psevdonimizirani obliki za sprejemanje strateških in taktičnih odločitev.
c) Obdelava na podlagi privolitev
Mercator lahko izvaja obdelavo osebnih podatkov na podlagi privolitve posameznika v primerih, ko obdelave zajamejo večji obseg osebnih podatkov, in sicer s področja nakupnih navad. Mercator obdeluje podatke na podlagi privolitve za tri namene:
- Privolitev za uporabo podatkov iz pristopnice in nakupnih podatkov za namen proučevanja nakupnih navad in posledično ciljnega trženja. Tako je posameznik upravičen do posebnih, prilagojenih ponudb in ugodnosti.
- Privolitev za uporabo podatkov iz pristopnice, podatkov iz nakupljenih izdelkov ter uporabe Mercatorjevih spletišč in mobilnih aplikacij za povabilo k sodelovanju v tržnih raziskavah in posredovanje rezultatov v anonimizirani obliki partnerjem in dobaviteljem.
- Privolitev za uporabo telefonske številke in elektronskega naslova za pošiljanje informacij in ponudb o izdelkih in storitvah, ki jih ponuja Mercator d.o.o. in njegovi poslovni partnerji.
Pri obdelavah na podlagi privolitev lahko Mercator uporablja tudi podatke o nakupljenih izdelkih in koriščenih ugodnostih.
Posameznik lahko privolitev odda in prekliče kadarkoli na naslednji način:
a) pisno na naslov: Mercator d.o.o., Kontaktni center Mercator, Dunajska cesta 107, 1000 Ljubljana ali info@mercator.si;
b) na Portalu Moja Pika oziroma v aplikaciji Moj M, kjer se identificira, soglasje uredi enostavno s klikom okenca privolitve;
c) s klicem na brezplačno telefonsko številko 080 20 80.
4. Posredovanje osebnih podatkov
Mercator vaše osebne podatke zaradi izpolnitve namena zaradi katerega se obdelujejo lahko posreduje sledečim pravnim oziroma fizičnim subjektom:
- Državnim organom in sodiščem,
- Revizorjem, inšpektorjem in odvetnikom, družbam za izterjavo,
- Ponudnikom tehnične podpore in varnostnega vzdrževanja,
- Ponudnikom klicnih centrov,
- Ponudnikom marketinških in oglaševalskih storitev,
- Ponudnikom razvoja komunikacijskih konceptov,
- Ponudnik anket ali tržnih raziskav,
- Izvajalcem nagradnih iger,
- Ponudnikom spletne analitike,
- Ponudnikom informacijskih storitev, ki jih uporablja Mercator,
- Razvijalcem programskih rešitev,
- Zavarovalnicam,
- Ponudnikom poštnih storitev, dostavnim in kurirskim službam,
- Storitve tretjih oseb (Google),
- Platforme socialnih medijev (npr. Facebook, Instagram, TikTok),
- Povezanim družbam v Skupini Mercator.
4.1 Platforme socialnih medijev
Platforme socialnih medijev vključujejo TikTok, Facebook, Youtube in Instagram. TikTok, Facebook, Youtube in Instagram nastopajo kot neodvisni upravljavci osebnih podatkov, ki bodo vaše osebne podatke obdelovala v skladu z njihovo politiko zasebnosti https://www.facebook.com/policy.php, https://www.tiktok.com/legal/privacy-policy?lang=en&appLaunch=app in https://policies.google.com/privacy?hl=en-US.
Naše spletno mesto vsebuje povezave do videoposnetkov od YouTuba/TikTok (Google Ireland Limited s sedežem v stavbi Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irska) / (TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Ireland).
Če obiščete spletno mesto na našem spletnem mestu, ki vsebuje tak videoposnetek, se po aktiviranju videoposnetka vzpostavi neposredna povezava med vašim brskalnikom in strežnikom YouTube/TikTok.
YouTube/TikTok prejme informacijo, da ste obiskali naše spletno mesto, z vašim naslovom IP. Če kliknete na povezavo do videoposnetka, se vaš naslov IP posreduje družbi YouTube/TikTok. Poudarjamo, da kot ponudnik našega spletnega mesta ne poznamo vsebine posredovanih podatkov ali njihove uporabe s strani YouTuba/TikTok.
4.2 Storitve tretjih oseb (Google)
Google je neodvisni upravljavec osebnih podatkov in ponudnik storitev (npr: Google Maps, Google Analytics), ki vaše osebne podatke obdeluje skladno z njihovo politiko zasebnosti: https://policies.google.com/privacy?hl=en-US.
4.3 Prenos osebnih podatkov v ZDA
OPOZORILO:
Z uporabo spletne strani Mercator, spletne trgovine Mercator, aplikacije Moj M in sodelovanja v nagradnih igrah, ki potekajo na platformah socialnih medijev, se vaši osebni podatki lahko prenesejo in obdelujejo v ZDA ali tretji državi oziroma ni mogoče preprečiti takega prenosa in nadejane obdelave s strani platform socialnih medijev. V tem primeru lahko pride do manjšega pravnega varstva vaših osebnih podatkov kot predvideva Splošna uredba o varstvu podatkov (GDPR).
Prenos podatkov v ZDA / prenehanje uporabe Zasebnostnega ščita (Privacy Shield)
Izrecno opozarjamo, da od 16. julija 2020, zaradi pravnega spora med posameznikom in irskim nadzornim organom, tako imenovani "Zasebnostni ščit", ki je v določenih okoliščinah potrdil ustrezno raven varstva osebnih podatkov v ZDA, ni več veljaven.
Zasebnostni ščit ni več veljavna pravna podlaga za prenos osebnih podatkov v ZDA!
Če pride do našega prenosa podatkov v ZDA ali če se uporablja ponudnik storitev s sedežem v ZDA, to izrecno navajamo v tej politiki zasebnosti.
Kaj lahko prenos osebnih podatkov v ZDA pomeni za vas kot uporabnika in kakšna so tveganja v zvezi s tem?
Tveganja za vas kot uporabnika so v vsakem primeru pooblastila ameriških obveščevalnih služb in pravni položaj v ZDA, ki po mnenju Sodišča EU trenutno ne zagotavlja več ustrezne ravni varstva osebnih podatkov. Med drugim gre za naslednje primere:
- Oddelek 702 Zakona o nadzoru tujih obveščevalnih služb (Foreign Intelligence Surveillance Act - FISA) ne določa nobenih omejitev za nadzorne dejavnosti obveščevalnih služb in nobenih zaščitnih ukrepov za državljane, ki niso državljani ZDA.
- Predsedniška politična direktiva 28 (PPD-28) posameznikom na katere se nanašajo osebni podatki, ne zagotavlja učinkovitih pravnih sredstev zoper ukrepe organov ZDA in ne določa ovir za zagotavljanje sorazmernih ukrepov.
- Varuh človekovih pravic, ki ga predvideva Zasebnostni ščit, ni dovolj neodvisen od izvršilne veje oblasti, saj ne more izdajati zavezujočih odredb proti obveščevalnim agencijam.
Pravno skladen prenos osebnih podatkov v ZDA na podlagi standardnih pogodbenih klavzul?
Standardne pogodbene klavzule, ki jih je Komisija sprejela leta 2010 (2010/87/EU z dne 5.2.2010), čl. 46(2) c Splošne uredbe o varstvu podatkov, še vedno veljajo pod pogojem, da je zagotovljena raven varstva osebnih podatkov enakovredna ravni varstva v Evropski uniji. Tako niso odločilna le pogodbena razmerja z našimi ponudniki storitev, temveč je treba oceniti tudi možnost dostopa do podatkov s strani organov v ZDA in tamkajšnji pravni sistem.
S katerimi ukrepi zagotavljamo, da so prenosi osebnih podatkov v ZDA zakonsko skladni?
Kadar ameriški ponudniki ponujajo to možnost, se odločimo za obdelavo osebnih podatkov na strežnikih v EU. S tem naj bi tehnično zagotovili, da se podatki nahajajo v Evropski uniji in da dostop ameriških organov do njih ni mogoč.
Za nadaljnjo uporabo orodij izvirajočih iz ZDA sprejemamo naslednje ukrepe:
V kolikor je to mogoče in ni določeno z zakonom (na primer FATCA), bomo pred uporabo orodja izvirajočega iz ZDA zahtevali vaše soglasje in vas vnaprej pregledno obvestili o načinu delovanja storitve. Tveganja, povezana s prenosom podatkov v ZDA, so navedena v ustreznem odlomku naše politike zasebnosti.
S ponudniki iz ZDA si prizadevamo skleniti omenjene standardne pogodbene klavzule in zahtevati dodatna jamstva za varstvo osebnih podatkov.
5. Rok hrambe osebnih podatkov
Roki hrambe se razlikujejo glede na zbirko osebnih podatkov, in sicer:
- Bonitetni sistem: podatki o uporabi Pika kartice se hranijo 5 let, pri čemer se podatki o vsebini nakupa hranijo največ 4 leta.
- Plačilna Pika kartica: obračunski podatki plačilno-kreditne kartice se hranijo 10 let.
- Mercator spletišča: podatki o aktivnostih na Mercator spletiščih se hranijo 5 let, pri čemer se podatki o vsebini nakupa hranijo največ 4 leta.
- Spletna trgovina: podatki o uporabi Pika kartice se hranijo 5 let, pri čemer se podatki o vsebini nakupa hranijo največ 4 leta.
- Moja Pika in Moj M: podatki o uporabi Pika kartice se hranijo 5 let, pri čemer se podatki o vsebini nakupa hranijo največ 4 leta.
- Storitev M sken: podatki o uporabi storitve M sken se hranijo 1 leto.
- Sodelovanje v nagradni igri: podatki o sodelujočih se hranijo 1 leto po zaključku nagradne igre oziroma 10 let v primeru prejema nagrade.
6. Pravice posameznikov v zvezi z obdelavo osebnih podatkov
Posamezniki imajo v zvezi z osebnimi podatki vrsto pravic. Mercator pred izvrševanje pravice preveri identiteto posameznika, ki sprašuje po svojih pravicah. Posameznik svojo zahtevo po seznanitvi odda z obrazcem pisno na info@mercator.si ali na naslov Kontaktni center Mercator, Dunajska cesta 103, 1000 Ljubljana.
Izpolnitev upravičene zahteve Mercator izpolni v roku 1 meseca, v primeru kompleksnosti zahtev oziroma večjega števila zahtev, se lahko rok izpolnitve podaljša še za 2 meseca. Mercator o takem podaljšanju in razlogih zanj obvesti posameznika.
a) Pravica dostopa do podatkov: posameznika na njegovo zahtevo seznanimo, ali se v zvezi z njim obdelujejo osebni podatki in kadar to drži, posredujemo naslednje informacije:
- vrste osebnih podatkov;
- kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki;
- roki hrambe;
- obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki ali obstoj pravice do ugovora k taki obdelavi;
- pravica do vložitve pritožbe pri Informacijskem pooblaščencu;
- kadar osebni podatki niso zbrani od posameznika, vse razpoložljive informacije v zvezi z njihovim virom;
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, ter smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika.
Na podlagi zahteve Mercator izdela kopijo osebnih podatkov, ki se obdelujejo in jih posreduje posamezniku.
b) Pravica do popravka: Posameznik lahko kadarkoli zahteva, da Mercator popravi netočne podatke ali dopolni nepopolne podatke, ki se nanašajo nanj.
c) Pravica do izbrisa podatkov (t. i. pravica do pozabe): Posameznik lahko zahteva, da se njegovi osebni podatki izbrišejo v naslednjih primerih:
- osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
- posameznik prekliče privolitev, na podlagi katere poteka obdelava, in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
- posameznik obdelavi osebnih podatkov ugovarja, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi;
- osebni podatki so bili obdelani nezakonito;
- osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali slovenskim pravom.
d) Pravica do omejitve obdelave: Posameznik lahko zahteva, da se obdelava podatkov, ki se nanašajo nanj omeji, kadar:
- podatki niso točni,
- je obdelava nezakonita, pa potrošnik ne želi, da podatke izbrišemo,
- Mercator podatkov ne potrebuje več za namene obdelav, vendar jih potrebuje posameznik za uveljavljanje, izvajanje ali nasprotovanje pravnim zahtevkom,
- je posameznik vložil ugovor v zvezi z obdelavo.
e) Pravica do prenosljivosti podatkov: Posameznik lahko zahteva izpis podatkov, ki jih je posredoval Mercatorju in tiste, ki so nastali z opravljanjem nakupov s Pika kartico ali tudi brez nje v primeru nakupov v spletni trgovini, pri čemer obdelava teh podatkov temelji na podlagi pogodbe ali privolitve in se obdelava izvaja z avtomatiziranimi sredstvi. Izpis podatkov bo pripravljen v strojno berljivem formatu in ga bo posameznih lahko prevzel na Portalu Moja Pika.
f) Pravica do ugovora: Posameznik lahko ugovarja obdelavi osebnih podatkov. Ta pravica se nanaša le na obdelavo osebnih podatkov, ki jo izvajamo na podlagi legitimnega interesa, ki prevlada nad interesi potrošnika, torej obdelave z namenom kontaktiranja za izvajanje anketiranja ter neposredno trženje v primeru uporabe zgolj osnovnih podatkov pri uporabi Pika kartice. Obrazec zahteva po pravici iz GDPR.
g) Preklic privolitve: Posameznik ima pravico, da prekliče privolitev (soglasje) za obdelavo njegovih osebnih podatkov, kadar obdelava temelji na privolitvi, ne da bi to vplivalo na zakonitost obdelave na podlagi privolitve pred njenim preklicem.
7. Pravica do vložitve pritožbe v zvezi z obdelovanjem osebnih podatkov
Posameznik lahko morebitno pritožbo v zvezi z obdelovanjem osebnih podatkov pošlje na elektronski naslov info@mercator.si ali po pošti na naslov: Poslovni sistem Mercator d.o.o., Kontaktni center Mercator, Dunajska cesta 103, 1000 Ljubljana.
Prav tako ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo neposredno pri Informacijskem pooblaščencu, če meni, da obdelava osebnih podatkov v zvezi z njim krši veljavno zakonodajo.
Kontakt: Republika Slovenija Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. Telefon: 01 230 97 30, E-pošta: gp.ip@ip-rs.si, DPO za Urad IP: dpo@ip-rs.si.
8. Varovanje podatkov
Vsi podatki bodo strogo varovani skladno s predpisi o varstvu osebnih podatkov ter internimi akti družbe Mercator d.o.o. ter ne bodo uporabljeni v druge nedogovorjene namene. Družba izvaja ustrezne tehnične in organizacijske ukrepe za zagotovitev visoke ravni varnosti osebnih podatkov v svojih informacijskih sistemih in zagotavljanja pravic oseb, na katere se podatki nanašajo.
9. Veljavnost politike
Ta politika je objavljena na www.mercator.si. Pravila so bila zadnjič posodobljena 27.09.2021.