POLITIKA PRIVATNOSTI
POLITIKA PRIVATNOSTI
Društvo DE. COMPANI DOO BEOGRAD (PALILULA), sa sedištem na adresi: Xxxxxxxxx 00, adresa za prijem pošte Xxxxxxx Xxxxx 000, matični broj: 17541595; PIB: 103298463, el. adresa: xxxxxxxxx@xxxxx.xxx koje zastupa direktor Xxxxx Xxxxxx (u daljem tekstu: Društvo), donosi xxxx 26.02.2020. godine, ovu Politiku privatnosti.
1. Uvodne odredbe
1.1. Svrha ove Politike privatnosti je regulisanje unutrašnje politike privatnosti, pravila i procedura Društva u skladu sa Opštom uredbom o zaštiti podataka o ličnosti EU (engl. General Data Protection Regulation, u daljem tekstu: “GDPR”) i Zakonom o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 87/2018) – u daljem tekstu: „Zakon“.
1.2. Definicije i izrazi iz ove Politike privatnosti korespondiraju definicijama i izrazima sadržanim u Zakonu.
1.3. Društvo je posvećeno poštovanju zakonodavstva Republike Srbije koje reguliše zaštitu podataka o ličnosti i GDPR-a, kao i poštovanju zaštite osnovnih ljudskih prava i xxxxxxx, a pre svega prava na privatnost lica čije podatke o ličnosti obrađuje Društvo.
1.4. Društvo prikuplja i obrađuje podatke, koji su detaljno definisani u tački 2.1. ove Politike privatnosti.
1.5. Relevantno zakonodavstvo Republike Srbije, GDPR i ova Politika privatnosti se primenjuju na sve aktivnosti obrade podataka xx xxxxxx Društva. Pod licima se misli na kupce i klijente Društva na xxxx xxxx vrše pregovore sa Društvom, a kasnije odustanu od poslovne saradnje sa Društvom i treća zainteresovana lica (u daljem tekstu:
„Lica“).
1.6. Zaposleni Društva koja su radno angažovana su u obavezi da poštuju i u svom radu primenjuju ovu Politiku privatnosti. U slučaju kršenja ove Politike privatnosti, GDPR-a ili Zakona, primenjivaće se relevantni zakoni, kao i interne procedure propisane ovom Politikom privatnosti (predviđeno u tački 6 ove Politike privatnosti).
1.7. Od trećih xxxx xxxx xx xxxx xxxx xxxxx sarađuju sa Društvom i koja u okviru takve saradnje mogu imati pristup podacima koje Društvo obrađuje, se očekuje da su pročitala ovu Politiku privatnosti i da je se pridržavaju. Nijedno treće lice neće imati pravo da pristupi podacima koje Društvo obrađuje pre nego da sa Društvom potpiše odgovarajući ugovor o poverljivosti, odnosno ugovor o zajedničkoj obradi podataka ili ugovor između rukovaoca i obrađivača o obradi podataka.
2. Podaci koje Društvo obrađuje
2.1. Društvo obrađuje sledeće podatke od Lica:
a) ime i prezime;
b) mesto, opština, država rođenja;
c) broj lične karte;
d) jedinstveni matični broj građana;
e) adresa stanovanja;
f) broj računa u banci;
g) e-mail adresa;
h) kontakt telefon.
U daljem tekstu zajedno označene kao: „Podaci”.
2.2. Podaci se prikupljaju kako bi Društvo postupilo u skladu sa svim zakonskim i podzakonskim propisima koji se odnose na obavljanje njegove delatnosti, uključujući Zakon o trgovini, Zakon o obligacionim odnosima, Zakon o zaštiti potrošača xxx x xxxxx zakone i podzakonska akta.
2.3. Društvo je u zakonskoj obavezi da u odnose na Xxxx xxxx su domaći državljani prikupi podatke navedene u tački
2.1. ove Politike privatnosti. U odnosu na Xxxx xxxx su strani državljani, Društvo je shodno zakonu obavezno da prikuplja sledeće lične podatke: 1) ime i prezime, 2) xxx, xxxxx i godinu rođenja, 3) državljanstvo, 4) vrsta, broj, datum izdavanja putne isprave, 5) e-mail adresu i 6) broj tekućeg računa i kontakt telefon.
2.4. Društvo može zaključiti ugovor o zajedničkom rukovanju sa drugim društvom kojim će odrediti vrstu i svrhu prikupljanja Podataka.
3. Društvo kao rukovalac
Podaci koje Društvo obrađuje kao rukovalac
3.1. Društvo kao rukovalac obrađuje Podatke sledećih Lica:
a) kupaca i klijenata Društva;
b) xxxx xxxx vrše pregovore sa Društvom, a kasnije odustanu od poslovne saradnje sa Društvom.
3.2. U slučaju da je potrebno da Društvo u budućnosti obrađuje Podatke kategorija xxxx xxxx nisu navedena u tački 3.1, Društvo će to učiniti u skladu sa Zakonom i GDPR-om bez potrebe da izvrši izmene i dopune ove Politike privatnosti. Međutim, ukoliko takva obrada Podataka postane sistematska i/ili obrada xxxx xx uključena u svakodnevne aktivnosti Društva, ova Politika privatnosti će shodno biti izmenjena.
3.3. Detaljni opis kategorija xxxx xxxx se Podaci obrađuju i ostalih relevantnih informacija u vezi sa Podacima koje se obrađuju se nalaze u evidenciji za obradu Podataka koju Društvo redovno ažurira.
Svrha obrade Podataka
3.4. Podaci se prikupljaju kako bi Društvo postupilo u skladu sa svim zakonskim obavezama, koja se odnose na njegovo poslovanje, za statističke svrhe, marketinške svrhe i uopšte za svrhe prodaje robe.
3.5. U slučaju da Društvo u bilo kom trenutku dođe u situaciju da je potrebno da obrađuje Podatke Lica iz xxxxx
3.1. ove Politike privatnosti u neku drugu svrhu, Društvo će to učiniti u skladu sa zahtevima relevantnog zakonodavstva Republike Srbije i GDPR-a bez potrebe da izvrši izmene i dopune ove Politike privatnosti. Međutim, ukoliko takva obrada Podataka postane sistematska i/ili obrada xxxx xx uključena u svakodnevne aktivnosti Društva, ova Politika privatnosti će shodno biti izmenjena.
3.6. Društvo je odredilo rokove zadržavanja Podataka koji su u potpunosti u skladu sa konkretnom svrhom obrade, pa se takvi rokovi nalaze o evidenciji obrade Podataka koju Društvo vodi. Društvo će periodično preispitivati rokove zadržavanja podataka i menjati ih ukoliko smatra da je to potrebno.
3.7. Aktivnosti obrade Društva ne uključuju profajling ili bilo koji vid automatske obrade Podataka koji imaju za cilj evaluaciju određenih ličnih aspekata Lica na koje se Podaci odnose, poput aspekata koji se odnose na ekonomsku, zdravstvenu situaciju i lične preferencije lica, kao i ostale lične aspekte.
3.8. Dodatni detalji o obradi podataka i rokovima zadržavanja se nalaze u evidenciji obrade Podataka Društva.
Pravni osnov obrade podataka
3.9. Društvo identifikuje pravni osnov obrade Podataka pre započinjanja aktivnosti obrade, tako što jasno utvrđuje, definiše, i, tamo gde je primenljivo, dokumentuje konkretnu svrhu obrade Podataka i odgovarajući pravni osnov.
3.10. U trenutku donošenja ove Politike privatnosti, Društvo obrađuje podatke na osnovu pristanka Xxxx i na osnovu zakona.
3.11. U slučaju da se obrada Podataka vrši na osnovu pristanka lica, forma i sadržina takvog pristanka će biti u skladu sa odredbama Zakona i GDPR-a. Primer obrasca pristanka za obradu Podataka dat je u Prilogu 1 ove Politike privatnosti, ali Društvo zadržava pravo da isti izmeni, u slučaju izmene relevantnih pravnih propisa. Ukoliko je pristanak potreban u slučaju određenih obrada Podataka, obrazac pristanka za obradu Podataka može biti dat u sklopu ostale dokumentacije ili xxx xxx ugovora koje Društvo zaključuje sa trećim licem, ali uvek xx xxxxx i transparentan način. Radi izbegavanja svake sumnje, u slučaju da Lice da pristanak Društvu za obradu, takav pristanak će lice moći da opozove u svakom trenutku.
3.12. U slučaju da Društvo odluči da obrađuje Podatke na osnovu legitimnog interesa, Društvo će, shodno konkretnom slučaju, sprovesti odgovarajuće testove da bi utvrdila da xx xx konkretan legitimni interes u suprotnosti sa interesima i osnovnim pravima i slobodama Lica na koja se Podaci odnose, a ukoliko se ispostavi da jeste, Društvo takve Podatke neće obrađivati.
3.13. Konkretni pravni osnovi za svaku aktivnost obrade su utvrđeni u evidenciji obrade Podataka koju Društvo vodi i redovno ažurira.
Ugovori o obradi Podataka
3.14. Ugovori koje Društvo zaključuje sa svojim obrađivačima će sadržati sve relevantne odredbe propisane Zakonom i GDPR-om.
Prenos Podataka
Evidencija o obradi Podataka
3.15. U cilju poštovanja relevantnih propisa i uspostavljanja dobre prakse, Društvo vodi ažurnu evidenciju o obradi Podataka koju vrši u svojstvu rukovaoca. Društvo zadržava pravo da evidenciju o obradi Podataka izmeni, u slučaju izmene relevantnih pravnih propisa.
4. Tehničke mere
4.1. Društvo je posvećeno preduzimanju odgovarajućih tehničkih mera koje imaju za cilj da obezbede optimalnu zaštitu Podataka, u vezi sa svim kategorijama Podataka koje Društvo obrađuje.
Anonimizacija podataka i pseudonimizacija
4.2. Svi Podaci koje Društvo obrađuje su anonimizovani (enkriptovani).
4.3. Podaci koji se prikupljaju za statističke svrhe, prikupljaju se na način da se primenjuje tehnička mera pseudonimizacije.
Praksa u vezi sa radno-angažovanim licima
4.4. Društvo primenjuje utvrđenu proceduru da onemogući pristup sistemu licima koja nisu više radno angažovana xx xxxxxx Društva.
Testiranje i evaluacija tehničkih mera
4.5. Društvo vrši redovno testiranje, procenu i evaluaciju tehničkih mera kako bi utvrdila da li iste omogućavaju efikasnu zaštitu Podataka koje Društvo obrađuje. Ukoliko Društvo utvrdi da postojeće tehničke mere nisu dovoljne za zaštitu integriteta podataka, Društvo će početi da primenjuje druge tehničke mere koje su odgovarajuće, te će, shodno tome, izmeniti ovu Politiku privatnosti.
5. Organizacione mere
Poverljivost
5.1. Društvo je razvilo praksu potpisivanja ugovora o poverljivosti, odnosno inkorporiranja odgovarajućih klauzula o poverljivosti u ugovore sa osobama koje su radno angažovane u Društvu ili saradnicima koji imaju pristup Podacima koje Društvo obrađuje.
Mere ograničavanja pristupa Podacima
5.2. Pristup sistemima Društva i Podacima je ograničen samo na određena xxxx xxxx obavljaju rad u određenim sektorima Društva, i to zarad obavljanja konkretnih radnih zadataka. U prilogu 2 ove Politike privatnosti se nalazi xxxxxx xxxx koja imaju pravo pristupa Podacima.
Imenovanje ovlašćenog lica za zaštitu Podataka
5.3. Iako Društvo nema pravnu obavezu da imenuje ovlašćeno lice za zaštitu podataka o ličnosti, u cilju implementiranja najbolje prakse zaštite Podataka koje Društvo obrađuje, Društvo će imenovati ovlašćeno lice za zaštitu podataka.
Interni treninzi i obuke
5.4. Društvo će organizovati interne treninge, odnosno obuku xxxx xxxx dolaze u kontakt sa Podacima, i koja imaju pristup podacima.
6. Procedura u slučaju kršenja
Obaveštenje o kršenju
6.1. Obaveštavanje Poverenika o povredi podataka o ličnosti
6.1.1. Društvo je dužno da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu (u daljem tekstu: „Obaveštenje Povereniku”).
6.1.2. Ako Društvo ne postupi u roku od 72 časa od saznanja za povredu na način definisanim u tački 6.1.1. ove Politike privatnosti, Društvo je u obavezi da obrazloži razloge zbog kojih nije postupio na xxx xxxxx i u xxx roku.
6.1.3 Obaveštenje Povereniku xxxx da sadrži najmanje sledeće informacije:
a. opis prirode povrede Podataka, uključujući vrstu Podatka i približan broj lica na koja se Podaci te vrste odnose, kao i približan broj podataka o ličnosti xxxx xx bezbednost povređena;
b. ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
c. opis mogućih posledica povrede;
d. opis mera koje je Društvo preduzelo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.
6.1.4. Obaveštenje Povereniku se dostavlja Povereniku u pisanom obliku, neposredno ili putem pošte, a može da se dostavi i skenirani primerak obaveštenja na imejl adresu: xxxxxxxxxxxxxxx@xxxxxxxxx.xx.
6.2. Obaveštavanje Lica o povredi podataka o ličnosti
6.2.1. Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, Društvo je dužno da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose (u daljem tekstu: “Obaveštenje licu”).
6.2.2. U Obaveštenju licu, Društvo je dužno da xx xxxxx i razumljiv način opiše prirodu povrede podataka, odnosno navede sledeće:
a. ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
b. opis mogućih posledica povrede;
c. opis mera koje je Društvo preduzelo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.
7. Pravo lica na koje se podaci o ličnosti odnose
7.1. Lica, iz xxxxx 3.1. ove Politike privatnosti, na koje se podaci o ličnosti odnose imaju sledeća prava:
7.1.1. da od Društva zahtevaju informaciju o tome da li Društvo obrađuje njegove podatke o ličnosti;
7.1.2. da zahtevaju od Društva xxxxxxx xxx podacima;
7.1.3. da zahtevaju od Društva ispravku podataka;
7.1.4. da zahtevaju od Društva dopunu podataka;
7.1.5. da zahtevaju od Društva brisanje podataka:
7.1.6. da zahtevaju od Društva ograničenje obrade podataka;
7.1.7. da podnesu prigovor.
7.2. Postupak za ostvarenje prava iz xxxxx 7.1 ove Politike privatnosti
7.2.1. Zahtev za ostvarivanje prava oz xxxxx 7.1. ove Politike privatnosti može biti podnet u bilo kom obliku, u pisanoj formi i to ovlašćenom licu za zaštitu podataka o ličnosti.
7.2.2. Svi Zahtevi lica iz xxxxx 3.1. ove Politike privatnosti koji nisu direktno upuceni ovlašćenom licu za zaštitu
podataka o ličnosti xxxx prosleđeni ovom licu.
7.2.3. Ovlašćeno lice za zaštitu podataka o ličnosti proverava i potvrđuje identitet lica u skladu sa podacima iz Zahteva i podacima koje poseduje Društvo. Ako je potrebno, ovlašćeno lice za zaštitu podataka o ličnosti može zatražiti dodatne informacije od lica.
7.2.4. Ovlašćeno lice za zaštitu podataka o ličnosti beleži datum izvršenja provere identifikacije i specifikaciju traženih podataka.
7.2.5. Ovlašćeno lice za zaštitu podataka o ličnosti pruža tražene informacije iz Zahteva u roku od 30 xxxx od xxxx prijema Zahteva. Taj rok može biti produžen za xxx 60 xxxx ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje ovlašćeno lice za zaštitu podataka o ličnosti je dužno da obavesti lice na koje se podaci odnose u roku od 30 xxxx od xxxx prijema zahteva.
7.2.6. Ovlašćeno lice za zaštitu podataka o ličnosti je dužno da odgovori na Zahtev bez naplaćivanja naknade od lica. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, DPO može da:
1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
2) odbije da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na ovlašćenom licu za zaštitu podataka o ličnosti.
8. Završne odredbe
8.1. Ovu Politiku privatnosti donosi direktor Društva, koji ima pravo da izvrši izmene i dopune Politike privatnosti kada za to postoji potreba. Politika privatnosti obavezuje Društvo od xxxx xxxxxxxxx.
Za
DE. COMPANI DOO BEOGRAD (PALILULA)
Xxxxx Xxxxxx, direktor