Informacije nosiocima podataka u skladu sa Zakonom o zaštiti ličnih podataka
Rijaset Islamske zajednice u Bosni i Hercegovini — Ured za hadž i umru (u daljnjem tekstu: Kontrolor), donosi ovu Politiku privatnosti radi ispunjavanja obaveza transparentnosti prema nosiocima podataka, naročito u pogledu informisanja iz čl. 14., 15. i 16. Zakona o zaštiti ličnih podataka (u daljnjem tekstu: Zakon), a u vezi sa obradom podataka unutar sistema E-UMRA.
Ova Politika primjenjuje se na sve obrade ličnih podataka putnika koje se vrše putem sistema E-UMRA, kao i na povezane obrade unutar informacionog sistema Kontrolora, u svrhu organizacije i realizacije odlaska na umru.
Kontrolor ličnih podataka je Rijaset Islamske zajednice u Bosni i Hercegovini — Ured za hadž i umru, sa sjedištem na adresi Kovači 36, 71000 Sarajevo.
Kontrolor je, u skladu sa zakonskom obavezom, imenovao službenika za zaštitu ličnih podataka koji djeluje kao primarna i nezavisna kontakt tačka za nosioce podataka.
Kontrolor vrši obradu podataka prema sljedećoj operativnoj podjeli, osiguravajući da ove obrade ne uključuju automatizovano donošenje odluka niti profiliranje koje bi proizvodilo pravne ili slične značajne učinke po nosioce podataka.
| Kategorija podataka | Svrha obrade | Pravni osnov (Zakon) |
|---|---|---|
| Identifikacioni i kontakt podaci (ime, prezime, datum rođenja, spol, državljanstvo, telefon, email) | Prijava i registracija na termin umre, identifikacija putnika te komunikacija o statusu rezervacije i putovanja | Saglasnost (član 8. stav (1) tačka a) — dobrovoljna i povlačiva u svakom trenutku |
| Podaci iz putnih isprava (broj pasoša, datum izdavanja i isteka, država izdavanja, skenirana kopija pasoša) | Postupci viziranja, rezervacija avio-karata te prijava nadležnim institucijama, ambasadama/konzulatima i aviokompanijama | Saglasnost i izvršenje radnji na zahtjev nosioca podataka (član 8. Zakona) |
| Podaci o rezervaciji, smještaju i plaćanju (termin, hotel/soba, tip prijave, cijena, akontacija, uplate, status) | Organizacija putovanja, smještaja i transporta, vođenje evidencije putnika i obračun plaćanja | Izvršenje ugovora o organizaciji putovanja i saglasnost (član 8. Zakona) |
| Tehnički i evidencijski podaci (zapisi o pristupu sistemu, evidencija poslanih obavijesti) | Sigurnost sistema, kontrola pristupa podacima te dokazivanje danih saglasnosti | Legitimni interes Kontrolora (član 8. stav (1) tačka f) — sigurnost i odgovornost |
Identifikacioni i kontakt podaci (ime, prezime, datum rođenja, spol, državljanstvo, telefon, email)
Svrha: Prijava i registracija na termin umre, identifikacija putnika te komunikacija o statusu rezervacije i putovanja
Pravni osnov: Saglasnost (član 8. stav (1) tačka a) — dobrovoljna i povlačiva u svakom trenutku
Podaci iz putnih isprava (broj pasoša, datum izdavanja i isteka, država izdavanja, skenirana kopija pasoša)
Svrha: Postupci viziranja, rezervacija avio-karata te prijava nadležnim institucijama, ambasadama/konzulatima i aviokompanijama
Pravni osnov: Saglasnost i izvršenje radnji na zahtjev nosioca podataka (član 8. Zakona)
Podaci o rezervaciji, smještaju i plaćanju (termin, hotel/soba, tip prijave, cijena, akontacija, uplate, status)
Svrha: Organizacija putovanja, smještaja i transporta, vođenje evidencije putnika i obračun plaćanja
Pravni osnov: Izvršenje ugovora o organizaciji putovanja i saglasnost (član 8. Zakona)
Tehnički i evidencijski podaci (zapisi o pristupu sistemu, evidencija poslanih obavijesti)
Svrha: Sigurnost sistema, kontrola pristupa podacima te dokazivanje danih saglasnosti
Pravni osnov: Legitimni interes Kontrolora (član 8. stav (1) tačka f) — sigurnost i odgovornost
Popunjavanjem i slanjem prijavnog obrasca na sistemu E-UMRA, nosilac podataka daje izričitu, dobrovoljnu i informisanu saglasnost za obradu svojih ličnih podataka u sljedeće svrhe:
Saglasnost se daje aktivnom radnjom nosioca podataka putem sistema E-UMRA, nakon upoznavanja s ovom Politikom privatnosti i uslovima korištenja, pri čemu Kontrolor u informacionom sistemu evidentira datum i način davanja saglasnosti, u skladu s načelom odgovornosti.
Nosilac podataka ima pravo da u svakom trenutku povuče saglasnost, bez negativnih posljedica, pri čemu povlačenje saglasnosti ne utiče na zakonitost obrade izvršene prije povlačenja. Povlačenje saglasnosti može onemogućiti dalju realizaciju prijave i putovanja.
Neovisno od obrade zasnovane na saglasnosti, Kontrolor može vršiti određene obrade podataka u svrhu planiranja termina i kapaciteta, statističke analize te unapređenja organizacije odlaska na umru, koje se temelje na legitimnom interesu Kontrolora (član 8. stav (1) tačka f) Zakona).
Ova obrada vrši se isključivo na agregiranom i/ili anonimiziranom nivou, uz primjenu principa minimizacije podataka, i ne proizvodi pravne ili slične značajne učinke po nosioce podataka. Svakom nosiocu podataka izričito se garantuje pravo na prigovor (opt-out) na obradu zasnovanu na legitimnom interesu, u skladu sa Zakonom.
Korištenje sistema E-UMRA po prirodi stvari može ukazivati na vjersko uvjerenje nosioca podataka, budući da je umra vjersko putovanje. U skladu sa članom 11. stav (2) tačka d) Zakona, ovakva obrada vrši se isključivo u okviru legitimnih aktivnosti vjerske zajednice i odnosi se na osobe koje su se dobrovoljno prijavile za odlazak na umru.
Kontrolor ne prikuplja posebne kategorije podataka kao zasebnu kategoriju izvan onoga što proizlazi iz same prirode usluge, niti ih otkriva van subjekata nužnih za realizaciju putovanja bez saglasnosti nosioca podataka.
Kontrolor može, u skladu sa važećim propisima i uz primjenu načela minimizacije podataka, dostaviti ograničen skup ličnih podataka putnika subjektima uključenim u realizaciju putovanja na umru, isključivo kada je to neophodno za izvršenje usluge, i to:
Takvo dostavljanje vrši se uz prethodnu procjenu nužnosti, u obimu koji je nužan za konkretnu svrhu i bez daljnje obrade u svrhe nespojive s izvornom svrhom prikupljanja podataka. Subjekti kojima se podaci dostavljaju dužni su postupati u skladu s važećim propisima o zaštiti ličnih podataka.
Nosiocima podataka garantuju se prava na pristup (čl. 17.), ispravku (čl. 18.), brisanje (čl. 19.), ograničenje obrade (čl. 20.) i prenosivost podataka (čl. 22.), kao i pravo na prigovor i pravo na povlačenje saglasnosti u svakom trenutku.
Nakon isteka rokova čuvanja, podaci se sigurno brišu ili nepovratno anonimiziraju, u skladu s internim aktima Kontrolora.
Lični podaci obrađuju se primarno unutar informacionog sistema Kontrolora u Bosni i Hercegovini, uz primjenu tehničkih mjera zaštite (enkripcija, kontrola pristupa, bilježenje logova pristupa) koje se redovno revidiraju.
Budući da realizacija putovanja na umru nužno uključuje subjekte izvan Bosne i Hercegovine (ambasade/konzulati i nadležni organi Kraljevine Saudijske Arabije, aviokompanije te pružaoci usluga smještaja), Kontrolor će u tu svrhu prenijeti isključivo onaj skup podataka koji je neophodan za izvršenje putovanja, uz primjenu načela minimizacije i odgovarajućih mjera zaštite. Ovaj prijenos zasniva se na saglasnosti nosioca podataka i nužnosti izvršenja usluge.
Kontrolor je dužan interno evidentirati sve korake preduzete u slučaju povrede podataka, uključujući opis ugroženih podataka i poduzete mjere za sanaciju i prevenciju.
U slučaju povrede sigurnosti koja može uzrokovati visok rizik za prava nosioca, Kontrolor će obavijestiti Agenciju za zaštitu ličnih podataka u roku od 72 sata, a nosilac podataka će o takvoj povredi biti obaviješten bez odgađanja putem dostupnih kontakt podataka.
Kontrolor ne provodi automatizovano donošenje odluka niti profiliranje u smislu Zakona koje bi proizvodilo pravne učinke ili na sličan način značajno uticalo na nosioce podataka.
Kontrolor zadržava pravo ažuriranja ove Politike. O svim značajnim izmjenama nosioci podataka će biti blagovremeno obaviješteni putem sistema E-UMRA ili putem dostupnih kontakt podataka.
Datum stupanja na snagu: 18. juni 2026. godine.