PRAVILA O PRIVATNOSTI ZA RANČ RAMARIN LOYALTY APLIKACIJU

1. UVODNE ODREDBE

Trgovačko društvo Ranč Ramarin d.o.o. za usluge (dalje u tekstu: “Voditelj obrade”) posvećeno je zaštiti osobnih podataka svojih korisnika te postupanju sukladno važećim propisima o zaštiti osobnih podataka, uključujući ali ne ograničavajući se na Opću uredbu o zaštiti podataka (EU) 2016/679 (dalje u tekstu: “GDPR”) i Zakon o provedbi Opće uredbe o zaštiti podataka. Ova Pravila o privatnosti (dalje u tekstu: “Pravila”) definiraju način na koji se prikupljaju, obrađuju, pohranjuju i štite osobni podaci korisnika prilikom korištenja mobilne aplikacije Ranč Ramarin Loyalty (dalje u tekstu: “Aplikacija”).

2. VODITELJ OBRADE I KONTAKT PODACI

Voditelj obrade osobnih podataka je trgovačko društvo Ranč Ramarin d.o.o. za usluge, sa sjedištem na adresi Gardunska ulica 18, 35000 Slavonski Brod, upisano u registar Trgovačkog suda u Osijeku, Stalna služba u Slavonskom Brodu, MBS: 02966107, OIB: 99131615846. Za sva pitanja povezana s obradom osobnih podataka i ostvarivanjem prava na zaštitu osobnih podataka, korisnik se može obratiti Voditelju obrade putem elektroničke pošte na adresu: gdpr@ranc-ramarin.hr ili telefonski na broj: [+385 91 549 22 37].

3. KATEGORIJE OSOBNIH PODATAKA KOJI SE PRIKUPLJAJU

Voditelj obrade putem Aplikacije prikuplja i obrađuje sljedeće kategorije osobnih podataka:

3.1. Podaci koje korisnik dobrovoljno stavlja na raspolaganje

  • Osobni podaci nužni za registraciju i vođenje korisničkog profila: ime i adresa elektroničke pošte kao obvezni podaci, lozinka za pristup računu, te opcionalno: prezime, broj telefona, adresa, mjesto, država i spol.
  • Podaci o rezervacijama usluga: datum, vrijeme, vrsta usluge (npr. jahanje, tenis, mini golf), cijena, način plaćanja (plaćanje bodovima ili na licu mjesta).
  • Podaci iz odgovora na ankete za osvajanje bodova: odgovori na ankete koriste se za poboljšanje usluga i dodjelu nagradnih bodova. Odgovori su povezani s korisničkim profilom radi praćenja bodova.
  • Podaci o skeniranim računima: fiskalni podaci s računa (iznos, datum, JIR broj) koji ne uključuju osobne podatke korisnika, a koriste se za dodjelu bodova u programu lojalnosti.
  • Podaci o referral programu (ako je primjenjivo).

3.2. Podaci prikupljeni automatski tijekom korištenja Aplikacije

  • Podaci o uređaju korisnika: model uređaja, operativni sustav, verzija aplikacije, IP adresa, jedinstveni identifikator uređaja.
  • Podaci o načinu korištenja Aplikacije: učestalost korištenja funkcionalnosti, interakcije s aplikacijom.

3.3. Podaci prikupljeni putem dozvola za pristup funkcionalnostima uređaja

  • Pristup kameri: za skeniranje QR kodova i fotografiranje računa iz restorana Ranča Ramarin radi dodjele bodova.
  • Pristup pohrani/galeriji: za učitavanje slika računa.
  • Pristup internetu i obavijestima: za funkcionalnost aplikacije i slanje obavijesti.
  • Prije traženja pristupa kameri, pohrani ili drugim funkcionalnostima, korisnici će biti obaviješteni o svrsi pristupa putem obavijesti unutar aplikacije (npr. “Pristup kameri potreban je za skeniranje računa radi dodjele bodova”).

4. SVRHE I PRAVNE OSNOVE OBRADE OSOBNIH PODATAKA

4.1. Svrhe obrade

Voditelj obrade prikuplja i obrađuje osobne podatke korisnika u sljedeće svrhe:
a) Izvršavanje ugovora i pružanje usluga: obrada osobnih podataka nužna za pružanje usluga koje je korisnik zatražio, uključujući registraciju i pristup korisničkom računu, rezervacije aktivnosti i usluga, vođenje programa lojalnosti i dodjelu bodova, te obradu skeniranih računa.
b) Komunikacija s korisnicima: obrada osobnih podataka nužna za slanje potvrda rezervacija i podsjetnika, obavještavanje o statusu bodova i nagradama, te slanje promotivnih obavijesti (isključivo uz izričiti pristanak korisnika).
c) Poboljšanje usluga: obrada osobnih podataka u svrhu analize korištenja Aplikacije za poboljšanje korisničkog iskustva, rješavanja tehničkih problema, te razvoja novih funkcionalnosti, uključujući obradu odgovora na ankete.
d) Sigurnost i zaštita: obrada osobnih podataka nužna za zaštitu od prijevara i zlouporabe, osiguravanje sigurnosti podataka i transakcija, te usklađenost s pravnim obvezama.

4.2. Pravne osnove za obradu

a) Izvršavanje ugovora (članak 6. stavak 1. točka b) GDPR-a): kada je obrada nužna za izvršavanje ugovora u kojem je korisnik stranka ili kako bi se poduzele radnje na zahtjev korisnika prije sklapanja ugovora.
b) Legitimni interes Voditelja obrade (članak 6. stavak 1. točka f) GDPR-a): kada postoji legitimni interes Voditelja obrade, osim ako su od tih interesa jači interesi ili temeljna prava i slobode korisnika koji zahtijevaju zaštitu osobnih podataka.
c) Privola korisnika (članak 6. stavak 1. točka a) GDPR-a): kada je korisnik dao izričitu privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha.
d) Pravna obveza (članak 6. stavak 1. točka c) GDPR-a): kada je obrada nužna radi poštovanja pravnih obveza kojima podliježe Voditelj obrade.

5. PRIMATELJI OSOBNIH PODATAKA

5.1. Kategorije primatelja

Voditelj obrade može dijeliti osobne podatke korisnika sa sljedećim kategorijama primatelja:
a) Pouzdani pružatelji usluga: izvršitelji obrade koji djeluju u ime Voditelja obrade i pružaju usluge nužne za funkcioniranje Aplikacije, uključujući usluge hostinga i obrade plaćanja. Ovi pružatelji usluga imaju pristup samo onim podacima koji su nužni za izvršavanje njihovih funkcija i obvezni su osigurati najmanje jednaku razinu zaštite podataka kao i Voditelj obrade.
b) Nadležna tijela javne vlasti: kada je Voditelj obrade obvezan otkriti osobne podatke temeljem primjenjivih propisa, sudskog naloga ili drugog pravnog postupka, ili u slučaju zaštite prava ili sigurnosti korisnika.

5.2. Ograničenja dijeljenja

Voditelj obrade ne prodaje, ne iznajmljuje i ne dijeli osobne podatke korisnika s trećim stranama u marketinške svrhe. Fotografije računa i povezani podaci dijele se isključivo s internim sustavom Voditelja obrade za obradu bodova.

6. SIGURNOST OBRADE OSOBNIH PODATAKA

6.1. Tehničke i organizacijske mjere

Voditelj obrade implementirao je odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka korisnika, uključujući enkripciju podataka tijekom prijenosa i pohrane, kontrolu pristupa podacima, redovito ažuriranje sigurnosnih protokola, redovito testiranje i procjenu učinkovitosti sigurnosnih mjera, te odgovarajuću obuku osoblja o važnosti zaštite podataka.

6.2. Obrada skeniranih računa

Voditelj obrade posebnu pozornost posvećuje obradi fotografija skeniranih računa, koje se obrađuju automatski i ne pohranjuju se trajno nakon dodjele i verifikacije bodova. Skenirani računi sadrže samo fiskalne podatke (iznos, datum, JIR broj) koji ne uključuju osobne podatke korisnika.

7. PRIJENOS OSOBNIH PODATAKA

7.1. Pohrana unutar EU

Voditelj obrade pohranjuje osobne podatke korisnika na poslužiteljima smještenim unutar Europske unije.

7.2. Prijenos izvan EGP

U slučaju potrebe za prijenosom osobnih podataka primateljima izvan Europskog gospodarskog prostora, Voditelj obrade osigurava odgovarajuće mjere zaštite sukladno člancima 44. – 49. GDPR-a.

8. RAZDOBLJE ČUVANJA OSOBNIH PODATAKA

8.1. Trajanje pohrane

Voditelj obrade čuva osobne podatke korisnika samo onoliko dugo koliko je potrebno za ostvarenje svrhe za koju su prikupljeni, odnosno za ispunjavanje ugovornih obveza ili zakonskih propisa.

8.2. Specifična razdoblja

Osobni podaci koji se odnose na korisnički profil čuvaju se dok je korisnički račun aktivan. Podaci o rezervacijama i bodovima lojalnosti čuvaju se tijekom trajanja programa lojalnosti. Skenirani računi i povezani podaci čuvaju se samo onoliko dugo koliko je potrebno za dodjelu i verifikaciju bodova.

8.3. Pravne obveze

U slučaju da primjenjivi propisi zahtijevaju dulje razdoblje čuvanja određenih podataka, Voditelj obrade zadržat će te podatke u skladu s relevantnim propisima.

9. PRAVA ISPITANIKA

9.1. Prava korisnika

U skladu s primjenjivim propisima o zaštiti osobnih podataka, korisnik ima sljedeća prava u vezi sa svojim osobnim podacima:
a) Pravo na pristup osobnim podacima (članak 15. GDPR-a): pravo na potvrdu obrađuju li se osobni podaci korisnika te, ako se obrađuju, pravo na pristup osobnim podacima i informacijama o obradi.
b) Pravo na ispravak netočnih ili nepotpunih osobnih podataka (članak 16. GDPR-a).
c) Pravo na brisanje (“pravo na zaborav”) osobnih podataka (članak 17. GDPR-a) u slučajevima kada osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni, kada je korisnik povukao privolu za obradu, a ne postoji druga pravna osnova za obradu, kada korisnik uloži prigovor na obradu, a ne postoje jači legitimni razlozi za obradu, kada su osobni podaci nezakonito obrađeni ili kada osobni podaci moraju biti brisani radi usklađenosti s pravnom obvezom. Korisnik aplikacije ima mogućnost brisanja svih svojih podataka preko aplikacije u svome profilu.
d) Pravo na ograničenje obrade osobnih podataka (članak 18. GDPR-a) u slučajevima kada korisnik osporava točnost osobnih podataka, kada je obrada nezakonita, a korisnik se protivi brisanju osobnih podataka, kada Voditelj obrade više ne treba osobne podatke za svrhe obrade, ali korisnik ih zahtijeva radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva, ili kada je korisnik uložio prigovor na obradu.
e) Pravo na prenosivost osobnih podataka (članak 20. GDPR-a): pravo na primanje osobnih podataka u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te na prijenos tih podataka drugom voditelju obrade.
f) Pravo na prigovor na obradu osobnih podataka (članak 21. GDPR-a): pravo na prigovor na obradu osobnih podataka koja se temelji na legitimnom interesu Voditelja obrade ili na izvršavanju zadaće od javnog interesa.
g) Pravo na povlačenje privole u bilo kojem trenutku (članak 7. stavak 3. GDPR-a), ako se obrada temelji na privoli, bez utjecaja na zakonitost obrade na temelju privole prije njezina povlačenja.
h) Pravo na podnošenje pritužbe nadzornom tijelu za zaštitu osobnih podataka (Agencija za zaštitu osobnih podataka, AZOP) ako korisnik smatra da obrada njegovih osobnih podataka nije u skladu s primjenjivim propisima o zaštiti osobnih podataka.

9.2. Ostvarivanje prava

Za ostvarivanje bilo kojeg od navedenih prava, korisnik može kontaktirati Voditelja obrade putem elektroničke pošte na adresu: gdpr@ranc-ramarin.hr.

10. OBRADA OSOBNIH PODATAKA DJECE

10.1. Dobna ograničenja

Aplikacija nije namijenjena djeci mlađoj od 16 godina. Voditelj obrade ne prikuplja svjesno osobne podatke od djece mlađe od 16 godina bez provjerljivog pristanka nositelja roditeljske odgovornosti nad djetetom.

10.2. Brisanje podataka

Ako Voditelj obrade sazna da su prikupljeni osobni podaci djeteta mlađeg od 16 godina bez odgovarajućeg pristanka, poduzet će razumne mjere za brisanje tih podataka bez nepotrebnog odgađanja.

11. IZMJENE PRAVILA O PRIVATNOSTI

11.1. Pravo na izmjene

Voditelj obrade zadržava pravo izmjene ovih Pravila u bilo kojem trenutku, uzimajući u obzir promjene u poslovnim praksama, funkcionalnostima Aplikacije, primjenjivim propisima ili iz drugih operativnih, pravnih ili regulatornih razloga.

11.2. Obavještavanje o izmjenama

O svim izmjenama ovih Pravila Voditelj obrade će obavijestiti korisnike putem Aplikacije ili elektroničke pošte prije stupanja izmjena na snagu.

11.3. Prihvaćanje izmjena

Nastavak korištenja Aplikacije nakon objave izmijenjenih Pravila predstavlja pristanak korisnika na izmijenjene uvjete. Korisnicima se preporučuje da redovito provjeravaju ova Pravila kako bi bili upoznati s eventualnim izmjenama.

12. ZAVRŠNE ODREDBE

12.1. Primjena pravila

Ova Pravila o privatnosti odnose se isključivo na Ranč Ramarin Loyalty aplikaciju.

12.2. Kontakt

Za sva pitanja, komentare ili zahtjeve vezane uz ova Pravila ili prakse obrade osobnih podataka, korisnici se mogu obratiti Voditelju obrade putem kontakt podataka navedenih u članku 2. ovih Pravila.

12.3. Stupanje na snagu

Ova Pravila stupaju na snagu dana [01.04.2025] godine.