PERSONAL DATA PROTECTION POLICY

Table of contents

1. PURPOSE, SCOPE AND USERS

2. REFERENCE DOCUMENTS

3. TERMS DEFINITIONS

4. BASIC PRINCIPLES REGARDING PERSONAL DATA PROCESSING

4.1. Lawfulness, Fairness and Transparency 

4.2. Purpose Limitation 

4.3. Data Minimisation

4.4. Accuracy

4.5. Storage Period Limitation

4.6. Integrity, Confidentiality and Availability

4.7. Accountability

5. BUILDING DATA PROTECTION SYSTEM IN BUSINESS ACTIVITIES OF THE COMPANY

5.1. Notification to Data Subjects

5.2. Data Subject’s Choice and Consent

5.3. Data Collection

5.4. Use, Retention, and Disposal of Data

5.5. Data Disclosure to Third Parties

5.6. Cross-border Transfer of Personal Data

5.7. Rights of Access by Data Subjects

5.8. Data Portability

5.9. Right to be Forgotten (data deletion)

5.10. Liability and Damages

6. FAIR PERSONAL DATA PROCESSING GUIDELINES

6.1. Privacy Notices to Data Subjects

6.2. Obtaining Consents

7. ORGANISATION AND RESPONSIBILITIES

8. GUIDELINES FOR ESTABLISHING THE LEAD SUPERVISORY AUTHORITY

8.1. Necessity to Establish the Lead Supervisory Authority

8.2. Main Establishment of the Company and the Lead Supervisory Authority

8.2.1. Main Establishment for the Data Controller

8.2.2. Main Establishment for the Data Processor

8.2.3. Main Establishment for Non-EU Companies for Data Controllers and Processors

9. RESPONSE TO PERSONAL DATA BREACH INCIDENTS

10. AUDIT AND ACCOUNTABILITY

11. CONFLICTS OF LAW

11.1. Obligation to inform, mandatory written form, choice of law

12. MANAGING RECORDS KEPT ON THE BASIS OF THIS DOCUMENT

13. VALIDITY AND DOCUMENT MANAGEMENT

13.1. Validation of this policy is carried out by the owner (custodian) of this policy, the Personal Data Protection Officer (DPO) and the Director, who must control and check the implementation of the privacy protection policy, and the Personal Data Protection Officer as necessary, and update the document at least once a year.

13.2. This policy enters into force on the date of signing: 01/12/2018

1. Purpose, Scope and Users

SOFTLINK DOO BEOGRAD-NOVI BEOGRAD, residing at 86 Omladinskih brigada Street, 11070 Novi Beograd, company registration number: 21445045, TIN: 111225706 (hereinafter: “the Company”), intends to comply with applicable laws and regulations of the Republic of Serbia related to personal data protection. This Policy sets forth the basic principles by which the Company processes the personal data of customers, suppliers, business partners, employees and other individuals or legal parties (hereinafter: “the Clients”), and indicates the responsibilities of the Company and the employees while processing personal data.

This Policy applies to the Company and its subsidiaries.

The users of this document are all permanent or temporary employees, and all sub-contractors working on behalf of the Company.

2. Reference Documents

  • EU GDPR 2016/679 (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC);
  • Personal Data Protection Law; 
  • Law on Information Security. „Official Gazette of Republic of Serbia“, No. 6/2016; 
  • Obligation Relations Law of the Republic of Serbia, (“Official Gazette of the SFRY”, no. 29/78, 39/85, 45/89 – decision of the USJ and 57/89, “Official Gazette of the SRY”, no. 31/93 and ” Official Gazette SMNE”, No. 1/2003 – Constitutional Charter)
  • Information Security Policy (ISMS Policy) of the Company.

3. Terms definitions

The following definitions of terms used in this document are drawn from Article 4 of the Data Protection Law of the Republic of Serbia (hereinafter: the Law):

Personal Data: Any information relating to an identified or identifiable natural person (Data Subject) who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Sensitive Personal Data: Personal data which by their nature, especially the sensitivity for the rights and freedoms of the data subjects, merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data include personal data revealing racial or ethnic origin, religious or philosophical beliefs, genetic data, and biometric data for the purpose of uniquely identifying a natural person.

Data Controller: The natural or legal person, public authority, agency or any other body, which alone or jointly with others, determines the purposes and means of the processing of personal data.

Data Processor: A natural or legal person, public authority, agency or any other body which processes personal data on behalf of a Data Controller.

Processing: An operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction of the data.

Anonymization (synonym: Encryption): Irreversibly de-identifying personal data such that the person cannot be identified by using reasonable time, cost, and technology either by the controller or by any other person to identify that individual. The personal data processing principles do not apply to anonymized data as it is no longer personal data.

Pseudonymisation (synonym: Coding): The processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organizational measures to ensure that the personal data are not attributed to an identified or identifiable natural person. Pseudonymisation reduces but does not completely eliminate, the ability to link personal data to a data subject. Because pseudonymised data is still personal data, the processing of pseudonymised data should comply with the Personal Data Processing principles.

Cross-border processing of personal data: Processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the European Union where the controller or processor is established in more than one Member State; or processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.

Supervisory Authority: An independent public authority which is established by a Member State pursuant to Article 51 of the EU GDPR and by the Republic of Serbia pursuant to Article 73 of The Law – Supervisor Authority.

4. Basic Principles Regarding Personal Data Processing

The data protection principles outline the basic responsibilities of organisations handling personal data. Article 4(8) of the Law stipulates that “the controller is a natural or legal person, that is, a government body that independently or together with others determines the purpose and method of processing. The law that determines the purpose and method of processing can also determine the controller or prescribe the conditions for its determination.”

4.1. Lawfulness, Fairness and Transparency

Personal data must be collected and processed lawfully, fairly and transparently in relation to the data subject (GDPR principle of “lawfulness, fairness and transparency”). Lawful processing is processing that is carried out in accordance with this Law, Article 5(1), or another law regulating processing.

4.2. Purpose Limitation

Personal data must be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes (for example, profiling and marketing activities) (“restriction in relation to the purpose of processing”, Law, Article 5(2)).

4.3. Data Minimisation

Personal data collected, processed and stored in the Company must be adequate, relevant, and limited to what is necessary in relation to the purposes for which they are collected, processed and stored. The Company must apply anonymization or pseudonymisation to personal data if there is a high risk to the Clients’ rights and freedom and the possibility to reduce the risks to the data subjects concerned.

4.4. Accuracy

Personal data collected in the Company must be accurate and, where necessary, kept up to date. The Company shall undertake reasonable steps to ensure that personal data that are inaccurate, having regard to the purposes for which they are collected and processed, are erased or rectified in a timely manner (the Law, Article 5(4)).

4.5. Storage Period Limitation

Personal data will be stored in the Company in a form that enables the identification of the person only for the period necessary to achieve the purpose of the processing (“storage limitation”, the Law, Article 5(5).

4.6. Integrity, Confidentiality and Availability

Taking into account the state of technology and other available latest security measures, the implementation cost, and the likelihood and severity of personal data risks, the Company must apply appropriate technical and procedural (administrative and organisational-operative) measures to process personal data in a manner that ensures appropriate security of personal data, including availability as they are needed and protection against accidental or unlawful destruction, loss, alteration, unauthorized access to, or disclosure (The Law, Article 5(6)).

4.7. Accountability

The Director of the Company as data controller must be responsible for and be able to demonstrate compliance with the Law principles outlined above.

5. Building Data Protection in Business Activities of the Company

In order to demonstrate compliance with the principles of data protection according to The Law, the Company shall build data protection into its business processes and activities.

5.1. Notification to Data Subjects

The Company must publish Privacy Notice on the company’s website and make a link to this Policy. The Privacy Notice should contain all needed information regarding data collection, processing activities, data retention, data transfer, data protection measures, processing location, accountability, etc. (See 6.1 section).

5.2. Data Subject’s Choice and Consent

In the Company’s business, natural and legal persons (data subjects) explicitly give their consent for collecting and processing their personal data in legally mutually agreed and signed commercial or non-commercial contracts (see section 6.2 of the Policy) and other contracts for commercial wholesale purposes.

5.3. Data collection

The Company must strive to collect the least amount of personal data possible. If personal data on behalf of the Company is collected from a third party, DPO, or person in charge of data protection matters, they must ensure that the personal data is collected lawfully.

5.4. Use, Retention, and Disposal of Data

The purposes, methods, storage limitation and retention period of personal data must be consistent with the information contained in the Privacy Notice. The Company must maintain the accuracy, integrity, confidentiality, availability and relevance of personal data based on the processing purpose. Adequate security mechanisms designed to protect personal data must be used to prevent personal data from being stolen, misused, or abused, and prevent personal data breaches. The director of the Company is responsible for compliance with the requirements listed in this section:

 

  1. Copies or duplicates of the data shall never be created without the knowledge of the Company’s Director, with the exception of backup copies as far as they are necessary to ensure orderly data processing, as well as data required to meet regulatory requirements to retain data.
  2. After the conclusion of the contracted work, or earlier upon request by the Company, at the latest upon the termination of the sale contracts or SLA, the Company shall, against prior consent of the Client, erase or encrypt (anonymise) personal data and archive together with contracts and SLA in order to retain them according to The Law (up to 10 years) or longer if necessary.

Documentation which is used to demonstrate orderly data processing in accordance with the contracts and SLA shall be stored beyond the contract and SLA duration by the Company in accordance with the respective retention periods.

5.5. Data disclosure to the Third Parties

Whenever the Company uses a third-party (supplier or business partner) to process personal data on its behalf, the DPO or the named person in charge of data protection matters must ensure that this processor will provide adequate technical and organizational security measures to safeguard personal data that are appropriate to the associated security risks. For this purpose, the Privacy Policy of the third party (supplier) and the agreed questionnaire on the protection requirements for the third party can be used.

The Company must contractually require the third party (supplier or business partner) to provide the same level of data protection and security measures to safeguard personal data. The supplier or business partner must only process personal data to carry out its contractual obligations towards the Company or upon the instructions that may contain legal, legitimate and other interests of the Company and for no other purposes. If the supplier processes personal data together with an independent trusted third party, the Company must explicitly specify their responsibilities, and the third party supplier must sign a relevant contract or SLA or another legally binding document, such as a Data Processing Agreement with the supplier.

  1. The Supplier shall ensure that the Company is able to verify compliance with the obligations of the Supplier in accordance with Article 26 of The Law. The Supplier undertakes (for example from an EU country) to give the Company the necessary information on request and, in particular, to demonstrate the execution of the technical and organizational measures. Evidence of such measures may be provided by Compliance with approved Codes of Conduct pursuant to Article 59 of The Law;
  2. Certification according to an approved certification procedure in accordance with Article 61 of The Law;
  3. Current auditor’s certificates, reports or excerpts from reports provided by independent bodies (e.g. auditor, Data Protection Officer, IT security department, data privacy auditor, quality auditor);
  4. A suitable certification by IT security or data protection auditing (e.g. ISO/IEC 27001);
  5. Where, in individual cases, audits and inspections by the Company or an auditor appointed by the Company are necessary, such audits and inspections will be conducted during regular business hours, and without interfering with the Supplier’s operations, upon prior notice, and observing an appropriate notice period. The Supplier may also determine that such audits and inspections are subject to prior notice, the observation of an appropriate notice period, and the execution of a confidentiality undertaking protecting the data of other customers and the confidentiality of the technical and organizational measures and safeguards implemented. The Supplier shall be entitled to reject auditors which are competitors of the Supplier;
  6. Where a data protection supervisory authority or another supervisory authority with statutory competence for the Company conducts an inspection, paragraph 3 above shall apply mutatis mutandis. The execution of a confidentiality undertaking shall not be required if such supervisory authority is subject to professional or statutory confidentiality obligations whose breach is subjected to sanctions under the applicable criminal code.

5.6. Cross-border Transfer of Personal Data

Before transferring personal data out of the European Economic Area (EEA) as well as from the Republic of Serbia (Article 63 of the Law), adequate safeguards provided in Standard Contractual Clauses must be used including the signing of a Data Transfer Agreement, as required by the European Union GDPR and the Law, and in situations where required by other regulations, with the authorization of the local authority for data protection (Supervisor Authority for Personal Data Protection in Serbia). The entity receiving the personal data must comply with the principles of personal data processing set forth in the Cross Border Data Transfer Procedure prescribed by the Supervisor Authority.

 

The general principle for transfers (Article 63 of the Law):

Any transfer of personal data which are undergoing processing or is intended for processing after transfer to a third country or to an international organization shall take place only if, subject to the other provisions (Articles 64, 65 and 67 of this Law), if the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organization to another third country or to another international organization. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by The Law is not undermined. The controller is responsible to create and maintain evidence about data transfers to third countries or international organizations (Article 47(5) of the Law), including the name of the state or international organization, and documenting the adequate technical and organizational measures if data transfer in accordance with Article 69 paragraph 2 of the Law.

 

Transfers are subject to appropriate safeguards (Article 64 of the Law):

  1. In the absence of a decision pursuant to Article 64(3) of the Law, a controller or processor may transfer personal data to a third country or an international organization only if the controller or processor has provided appropriate safeguards (Article 65 of the Law), and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.
  2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorization from a supervisory authority, by: 

(a) A legally binding and enforceable instrument between public authorities or bodies;

(b) Binding corporate rules for registering the processing activities in accordance with Article 47 of The Law;

(c) Standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to GDPR in Article 93(2) and Article 50 of the Law;

(d) Standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to GDPR in Article 93(2) and Article 51 of the Law;

(e) An approved code of conduct pursuant to Article 59 of The Law together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

(f) An approved certification mechanism pursuant to Article 61 of the Law together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

5.7. Rights of Access by Data Subjects

When acting as a data controller, the Company’s Director is responsible to provide data subjects with a reasonable access mechanism to enable them to access their personal data and must allow them to update, rectify, erase, or transmit their Personal Data, if appropriate or required by law. The access mechanism will be further detailed in the Data Subject Access Request Procedure (prescribed by Supervisor Authority) and provided with the manual help of the Company’s IKT system administrators.

5.8. Data Portability

Upon a written request, Data Subjects have the right to receive from the Company for free a copy of the data they provided, in a structured format, and to transmit those data to another controller. DPO or named person in charge of data protection matters is responsible to ensure that such requests are processed within one month upon receipt of the request if the request is not excessive (for example, if the data subject sends requests every day) and does not affect the rights to personal data of other individuals.

5.9. Right to be forgotten (data deletion)

Data Subjects have the right to request the deletion of their personal data (Article 30 of the Law). When the Company is acting as a Controller, DPO or named person in charge of data protection matters must take necessary steps (including technical measures) to inform the third parties who use or process the data to comply with the request and delete the data in a reasonable period of time (8 to 16 days).

5.10. Liability and damages

In case of complaints or damage to rights and freedom of natural persons, the Company and client (supplier, partner) shall be liable to the data subject in accordance with the Law (Articles 82 to 86 of the Law).

6. Fair Data Processing Guidelines

Personal data in the Company must only be processed when explicitly authorised by the DPO or named person in charge of data protection matters and approved by the Company’s Director as the data controller.

The Company must assess and decide whether to perform the Data Protection Impact Assessment for each data processing activity according to the guidelines (Article 54 of the Law).

6.1. Privacy Notices to Data Subjects

At the time of collection before collecting personal data for any kind of processing activity, including but not limited to buying and selling goods, services or marketing activities, DPO named person in charge of data protection matters is responsible to properly inform data subjects of the following: the types of personal data collected, the purposes of the processing, processing methods, the data subjects’ rights with respect to their personal data, the retention period, potential international data transfers if data will be shared with third parties and the Company’s security measures to protect personal data. This information is provided through Privacy Notice.

If the Company has multiple data processing activities, it will need to develop different notices which will differ depending on the processing activity and the categories of personal data collected — for example, one Notice might be written for mailing purposes and a different one for shipping purposes, where processing activities differ.

Where personal data is being shared with a third party, DPO or the named person in charge of data protection matters must ensure that data subjects have been notified of this through a Privacy Notice.

Where personal data is being transferred to a third country according to Cross Border Data Transfer Policy, the Privacy Notice should reflect this and clearly state to where, and to which entity personal data is being transferred.

6.2. Obtaining Consents

Whenever personal data processing is based on the data subject’s consent, or other lawful grounds, the DPO or the named person in charge of data protection matters is responsible for retaining a record of such consent. DPO or named person in charge of data protection matters is responsible for providing data subjects with options to provide consent and must inform and ensure that their consent (whenever consent is used as the lawful ground for processing) can be withdrawn at any time.

Where collection of personal data relates to a child under the age of 15, the DPO or named person in charge of data protection matters must ensure that parental (guardian) consent is given prior to the collection using the Parental Consent Form prescribed by the Supervisor Authority (Article 16 of the Law). The controller shall make reasonable efforts to verify in such cases that consent is given or authorized by the holder of parental responsibility over the child, taking into consideration available technology.

When requests to correct, amend or destroy personal data records, the DPO or named person in charge of data protection matters must ensure that these requests are handled within a reasonable time frame. DPO or named person in charge of data protection matters must also record the requests and keep a log of these.

Personal data must only be processed for the purpose for which they were originally collected. In the event that the Company wants to process collected personal data for another purpose, the Company must seek the consent of its data subjects in clear and concise writing. Any such request should include the original purpose for which data was collected, and also the new, or additional, purpose(s). The request must also include the reason for the change in purpose(s). The DPO or named person in charge of data protection matters is responsible for complying with the rules in this paragraph.

Now and in the future, The Company must ensure that collection methods are compliant with the relevant law, good practices and data and information protection standards.

DPO or named person in charge of data protection is responsible for creating and maintaining a Register of Privacy Notices.

7. Organisation and Responsibilities

The responsibility for ensuring appropriate personal data processing lies with everyone who works for or with the Company and has access to personal data processed by the Company.

The key areas of responsibility for processing personal data in the Company lie with the following organizational roles:

Company Director: Approves the general strategy of the Company and makes decisions on the collection, processing and protection of personal data of clients in the Company, works as a controller of processing activities, determines the purpose of processing, organises and keeps records of personal data processing activities in the Company (Article 47(5) ) of the Law).

The Data Protection Officer (DPO) or named person in charge of data protection matters: 

Is responsible for managing the personal data protection program and is responsible for the development and promotion of end-to-end personal data protection policies, and other activities as defined in the Data Protection Officer Job Description (Articles 56, 57 and 58 of the Law);

The lawyer of the Company: Monitors and analyses personal data laws and changes to regulations, develops compliance requirements, and assists business departments of the Company in achieving their Personal Data Policy goals.

The IT department of the Company:

  • Is responsible for ensuring all systems, services and equipment used for processing and storing data meet acceptable standards of information security and protection of personal data.
  • Performs regular checks and scans to ensure that technical security measures for hardware and software protection, as well as organizational measures, are functioning properly.

The Marketing manager is responsible for:

  • Approving any privacy notices attached to communications such as e-mails, faxes and letters.
  • Addressing any data protection queries from journalists or media outlets like newspapers.
  • Where necessary, working with the Data Protection Officer or named person in charge of data protection, to ensure the marketing and Company’s promotion initiatives abide by data protection principles. 

The Human Resources Manager is responsible for:

  • Improving all employees’ awareness of user personal data protection.
  • Organizing Personal data protection expertise and awareness training for employees working with personal data.
  • Ensuring the protection of personal data from the moment of receipt to archiving (end-to-end) and that the personal data of employees and clients are processed based on the legitimate, necessary and business needs of employees and clients.

The Procurement Manager is responsible for: Transferring responsibility for the Company’s personal data to the supplier and improving the supplier’s awareness of the protection of personal data, as well as for forwarding requests for personal data to the third party that the supplier uses. The Procurement Organization reserves the right to verify the security capabilities of suppliers and third parties.

The Procurement Department: Is responsible for transferring the Company’s personal data protection responsibility to the customer and improving customer awareness of personal data protection, as well as forwarding personal data protection requests to third parties.

8. Guidelines for Establishing the Lead Supervisory Authority

8.1. Necessity to Establish the Lead Supervisory Authority

Identifying a Lead supervisory authority for data protection is only relevant if the Company carries out the cross-border processing of personal data.

Cross border of personal data is carried out if:

  • Processing of personal data is carried out by subsidiaries of the Company which are based in other Member States; or

Processing of personal data which takes place in a single establishment of the Company in the European Union, but which substantially affects or is likely to substantially affect data subjects in more than one Member State.

8.2. Main Establishment and the Lead Supervisory Authority

8.2.1. Main Establishment for the Data Controller

The Director of the Company needs to identify the main establishment, which is usually the headquarters of the Company where the strategic decisions are made so that the lead supervisory authority can be determined.

If the representative office or subsidiary of the Company, located in an EU member state, becomes a controller and processor and if it independently processes personal data of EU citizens on a server in its headquarters and thus decides on cross-border processing activities and data transfer to the Company’s headquarters (Serbia), only then should it appoint a lead supervisory authority in that EU country.

8.2.2. Main Establishment for the Data Processor

When the Company is acting as a data processor, then the main establishment will be the place of central administration. In case the place of central administration is not located in the EU, the main establishment will be the establishment in Serbia where the main processing activities take place.

8.2.3. Main Establishment for Non-EU Companies for Data Controllers and Processors

If the Company does not have a main establishment in the EU, and it has subsidiaries(s) in the EU that process data on its own server located in the EU, then the competent supervisory authority is the local supervisor authority from the EU member state where the subsidiary has a main establishment. If the Company’s subsidiary located in the EU processes data online on the server located at the Company’s main establishment, then the national Supervisor Authority from Serbia (Trustee) shall be responsible).

9. Response to Personal Data Breach Incidents

When the Company learns of a suspected or actual personal data breach, [e.g. DPO or named person in charge of data protection matters, or identifies an incident of an actual breach of personal data, they must undertake an internal check, prevent the spread of the incident and require timely measures to recover the protection system, in accordance with this Policy. Where there is a risk, especially a high risk for the rights and freedoms of the data subject, the Company (i.e. DPO or named person in charge of data protection matters) will inform the competent supervisory authority (the Trustee) and the National CERT without delays, and within 72 hours at the latest, and data owners in the shortest possible time (up to 15 days).

10. Audit and Accountability

The Company will strive to check the quality of the implementation of this Policy to improve the techniques and organisational measures for the protection and control of the personal data of clients.

Every employee of the Company, who processes personal data, must be informed and trained on personal data, control systems and methods of collection and processing, legal regulations and responsibilities resulting from the Laws. If an employee of the Company violates the rights and freedoms of the data subjects, according to this Policy, he/she will be subject to disciplinary, misdemeanor or criminal measures, depending on the damage caused to the Company’s business system.

11. Conflicts of Law

This Policy is intended to comply with the laws and regulations in the place of establishment and of the countries in which the Company operates. In the event of any conflict between this Policy and applicable laws and regulations of the country in which the Company is headquartered, the local laws and regulations shall prevail.

11.1. Obligations to inform, mandatory written form, choice of law

  1. If the Company’s personal data of clients are subject to search and temporary seizure (e.g. in the event of an incident and digital forensic investigation), confiscation in the course of bankruptcy or insolvency proceedings, or similar events or measures of a third party while under the control of the Company, the Company will notify the client of such actions without any delay.
  2. The Company will inform without delay all interested parties about those actions and that any affected data is only owned and in the area of responsibility of the Company, that the data is available only to the Company, and that the Company is the responsible body in terms of the requirements of the Data Protection Act personality.
  3. The duration of this Policy statement corresponds to the duration of the sale contracts, SLA and other contracts that The Company concludes outside its regular activities, if necessary for regular business activities.
  4. No modification of this Policy section and/or any of its components, including, but not limited to the Client’s representations and warranties. If there is any modification, it shall be valid and binding unless made in writing or in a machine-readable format (in text form).
  5. In case of any conflict, the Law shall take precedence over the regulations of this Policy. Where individual regulations of this Policy section are invalid or unenforceable, the validity and enforceability of the other regulations of this Policy section shall not be affected.
  6. This Policy shall be governed by Serbian law. The competent Serbia courts shall have sole jurisdiction with respect to any dispute, controversy or claim regarding the rights and freedoms of natural persons to whom the data relates, or any subsequent annex to the contract with clients, including, without limitation, its formation, validation, binding effect, interpretation, performance, breach or termination, as well as non-contractual requirements.

11.2. Obligation of the Supplier to the Company

Adequate technical and organisational measures (Attachment 1) that The Company applies in order to protect data subjects’ personal data are subject to technical progress and development. In that sense, the Company is allowed to implement some alternative technical and organisational measures for personal data protection, but the security level has to be maintained and critical changes must be documented.

The Company shall request the Clients (Suppliers and Partners) to apply the same adequate technical and organisational measures to protect personal data that they obtained in the contracts and SLAs, or annexes to the contracts and SLAs, from the Company, including:

 

  1. The clients shall support the Company/Controller in performing clients’ rights and freedom according to the Law and this Policy.
  2. The clients shall further support the Company/Controller to comply with obligations in data protection, data violence notification, DPIA and previous consultation with Supervisor Authority, including:
  1. Ensuring an appropriate level of protection of personal data obtained from the Company, through adequate technical and organisational protection measures that take into account the circumstances and purpose of processing, the estimated probability and intensity of a potential violation of the law and principles of data protection due to security vulnerabilities, and enable the immediate detection of relevant violation events.
  2. Obligation to notify the Company of data protection violations in due time.
  3. The duty to assist the Company in connection with the Company’s obligations to secure information relating to natural persons and to promptly provide the Company with such information.
  4. Support the Company in DPIA activities.
  5. Support the Company with previous Supervisor Authority consultation.
  6. The client (supplier, partner) guarantees that all employees included in the contract for processing personal data of the Company, as well as other such persons who may be included in the contract for data processing with the Company, within the scope of the client’s responsibility, will be prohibited from processing data outside the scope of processing given by the Company’s instructions. Furthermore, the client guarantees that any person who processes data on behalf of the controller will take measures to preserve secrecy or implement a statutory obligation to preserve secrecy. All confidentiality obligations shall remain in effect even after the termination or expiration of the Company’s Data Processing Agreement.

The Clients (suppliers, partners) shall notify in due time the contact person in the Company regarding any question that is related to data protection, originating from the contracts and SLAs with the Company.
If natural persons file any claim against the Company in accordance with Article 82 of the Personal Data Protection Act, the client (supplier, partner) will support the Company in defending against such requests, where possible and justified.

 

12. Managing records kept on the basis of this document

Record nameStorage locationPerson responsible for storageControls for record protectionRetention time
Data Subject Consent Form(specify a folder in the ICT system database)DPOOnly authorized persons may access the forms10 years
Data Subject Consent Withdrawal Form(specify a folder in the ICT system database)DPOOnly authorized persons may access the forms10 years
Parental Consent Form(specify a folder in the ICT system database)DPOOnly authorized persons may access the forms10 years
Parental Consent Withdrawal Form(specify a folder in the ICT system database)DPOOnly authorized persons may access the forms10 years
Supplier Data Processing Agreements(specify a folder in the ICT system database)DPOOnly authorized persons may access the forms5 years after the Agreement has expired
Register of Privacy Notices(specify a folder in the ICT system database)DPOOnly authorized persons may access the formsPermanently

13. Validity and document management

Validation of this policy is carried out by the owner (custodian) of this policy, the DPO and the Director, who must control and verify the implementation of the privacy policy, and the DPO, if necessary, update the document at least once per year.

 

This policy enters into force on the date of signing: 15.12.2022

 

Company Director 

_______________________________________

Attachment 1. TECHNICAL AND ORGANIZATIONAL MEASURES FOR THE PROTECTION OF PERSONAL DATA PROCESSING ACTIVITIES

Protection of confidentiality of personal data processing activities
Data processingProtection control of processing activities
Physical access to data processing premisesKeys, room protection systems, and/or security at the entrance, alarm systems, video surveillance.
Electronic access to data processing and storage systemsSecure password, automatic blocking/locking mechanism, two-factor authentication, data carrier/storage media encryption.
Access of a natural person to read, copy, modify or delete data in the Company's ISThe concept of authorization of the right of access of the natural person to whom the data relates to the Company's ICT system based on the need and risk analysis of system access events and granting access with the manual assistance of the Company's system administrator.
Isolated data processingMulti-client support systems.
Personal data processing process
Pseudonymization: Processing of personal data in such a way/method that the data cannot be linked to a specific person without the help of additional information, provided that this information is stored separately and subject to appropriate technical and organizational protection measures.
Protection of the integrity of personal data processing activities
Transfer of personal dataAdequate technical protection measures including encryption, VPN connections, and digital signature to protect against unauthorized reading, copying and modification or deletion of data which is being transferred.
Accuracy of personal data entryLogging control and document management system.
Protection of availability and resilience of personal data
The control of availability and prevention of random or intentional destruction or loss of personality dataBackup strategy (online/offline; onsite/offsite), UPS System, Antivirus protection, Firewall, Reporting Procedure and Extraordinary Event Plan.
Quick recovery after incidentFrom the backup system, recovering deleted data tools and digital forensics techniques.
Organisational protection measures
Procedures for regular testing, assessment and evaluation
Privacy ManagementPrivacy Policy, Processing Activity Register
Incident response managementIncident management policy, first incident response procedure
Default and Built-in Personality Data ProtectionImplemented pseudonymization and minimization of the visibility of personality data for the implementation of the principle of protection of personal data, and integration of necessary protection measures (ISMS, the Law) in processing processes.

This control refers to the amount of data collection, processing scope, storage period, and access to personal information,

Ensuring that the default personal data is not available to natural persons without the intervention of a person for some people seeking access to their data, so the administrator's manual assistance is necessary.
Control of orders, contracts or agreements from the risk of processing the Company's personal data at the third party (supplier, partner)An appropriate Company instruction for adequate technical and organizational protection measures, unambiguous contract/agreement, and formal order management.

POLITIKA ZAŠTITE PODATAKA O LIČNOSTI

Sadržaj

1. Namena, obim i korisnici

2. Referentna dokumenta

3. Definicije termina

4. Osnovna načela obrade podataka o ličnosti

4.1. Zakonitost, poštenje i transparentnost  

4.2. Ograničenje namene  

4.3. Minimizacija podataka

4.4. Tačnost

4.5. Ograničen period čuvanja

4.6. Integritet, poverljivost i raspoloživost

4.7. Kontrolisana odgovornost (Accountability)

5. Izgradnja sistema zaštite podataka u poslovnim aktivnostima Kompanije

5.1. Obaveštavanje fizičkog lica

5.2. Izbor i pristanak fizičkog lica

5.3. Skupljanje podataka

5.4. Upotreba, zadržavanje i odlaganje podataka

5.5. Otkrivanje podataka trećim stranama

5.6. Prekogranični prenos podataka o ličnosti

5.7. Prava pristupa fizičkog lica podacima

5.8. Prenosivost podataka o ličnosti

5.9. Pravo na zaborav (brisanje podataka)

5.10. Odgovornost i nadoknada štete

6. Smernice za poštenu obradu podataka o ličnosti

6.1. Obaveštenje o privatnosti za fizička lica

6.2. Dobijanje pristanka

7. Organizacija i odgovornosti

8. Smernice za uspostavljanje vodećeg nadzornog tela

8.1. Neophodnost uspostavljanja vodećeg nadzornog tela

8.2. Glavno sedište Kompanije i vodeće nadzorno telo

8.2.1. Glavno sedište rukovaoca podataka o ličnosti

8.2.2. Glavno sedište obrađivača podataka o ličnosti

8.2.3. Glavno sedište rukovaoca i obrađivača podataka kompanije koja nema sedište u EU

9. Odgovor na incident povrede podataka o ličnosti

10. Provera i odgovornost

11. Konflikt zakona

11.1. Obaveza informisanja, obavezna pisana dokumenata, izbor zakona

12. Menadžment održavanja zapisa politike

13. Validacija i menadžment dokumenta

13.1. Validaciju ove politike vrše vlasnik (staratelj) ove politike, Lice za zaštitu podataka o ličnosti (DPO) i Direktor koji mora kontrolisati i proveravati primenu politike o zaštiti privatnosti, a Lice za zaštitu podataka o ličnosti po potrebi i ažurirati dokument najmanje jedanput godišnje.

13.2. Ova politika stupa na snagu danom potpisivanja: 01.12.2018. godine.

1. Namena, obim i korisnici

SOFTLINK DOO BEOGRAD-NOVI BEOGRAD, ul. Omladinskih brigada 86, 1107 Novi Beograd, matični broj: 21445045, PIB: 111225706 (u nastavku “Kompanija”), namerava da se usaglasi sa primenljivim zakonima i regulativama Republike Srbije koje se odnose na zaštitu podataka o ličnostima. Ova politika ističe osnovne principe obrade ličnih podataka kupaca, dobavljača, poslovnih partnera, zaposlenih i drugih pojedinaca ili predstavnika zakona (u nastavku „Klijenti“) i ukazuje na odgovornosti Kompanije i zaposlenih u aktivnostima obrade podataka.

Ova politika se primenjuje na Kompaniju i njena povezana društva.

Korisnici ovog dokumenta su stalno ili privremeno zaposleni i svi podugovarači koji rade u ime Kompanije.

2. Referentna dokumenta

  • EU GDPR 2016/679 (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC)
  • Zakon o zaštiti podataka o ličnosti 
  • Zakon o informacionoj bezbednosti Republike Srbije, „Sl. Glasnik RS “, br. 6/2016 
  • Zakon o obligacioni odnosima Republike Srbije, (“Sl. list SFRJ”, br. 29/78, 39/85, 45/89 – odluka USJ i 57/89, “Sl. list SRJ”, br. 31/93 i “Sl. list SCG”, br. 1/2003 – Ustavna povelja)
  • Politika informacione bezbednosti (ISMS Policy) Kompanije.

3. Definicije termina

Definicije termina korišćene u ovom dokument su sadržane u Članu 4 Zakona o zaštiti podataka o ličnosti (u daljem tekstu; Zakona):

Podaci o ličnosti: Svaka informacija koja se odnosi na identifikaciju ili lične identifikacione informacije fizičkih lica (lica na koje se podaci odnose) koja mogu biti direktno ili indirektno identifikovana, posebno na osnovu nekog identifikatora kao što je ime, lični broj, podatak o lokaciji, ili jedan ili više faktora specifičnih za fizički, psihološki, genetski, mentalni, ekonomski, kulturološki ili društveni identitet fizičkog lica.

Osetljivi podaci o ličnosti: Podaci o ličnosti koji po svojoj prirodi, posebno osetljivosti za prava i slobode lica na koja se podaci odnose, zaslužuju specifične mere zaštite pošto kontekst (aktivnosti) obrade podataka može izazvati visok rizik za fundamentalna prava i slobode fizičkih lica. Ovi podaci uključuju rasnu ili etičku pripadnost, religijsko ili filozofska uverenje, genetičke podatke, biometrijske podatke za jedinstvenu identifikaciju fizičkih lica.

Rukovalac podataka: Fizičko ili pravno lice, predstavnik javne vlasti, agencija ili drugo telo koje samo ili zajedno određuje namenu i sredstva obrade ličnih podataka.

Obrađivač podataka: Fizičko ili pravno lice, predstavnik javne vlasti, agencija ili drugo telo koje obrađuje lične podatke u ime kontrolora.

Obrada: Svaka operacija ili skup operacija koje se izvršavaju nad ličnim podacima ili skupu ličnih podataka, manuelnim ili automatizovanim sredstvima, kao što su: skupljanje, snimanje, organizacija, struktuiranje, pohranjivanje, adaptacija ili izmena, izvlačenje, konsultovanje, upotreba, otkrivanje prenosom, distribucija ili stavljanje na raspolaganje na drugi način, usklađivanje ili kombinovanje, restrikcija, brisanje ili uništavanje podataka.

Anonimizacija (sinonim: šifrovanje) : Nepovratan proces naknadne identifikacije ličnih podataka tako da fizičko lice ne može biti identifikovano u razumnom vremenu, sa razumnim troškovima i tehnologijom bilo od strane rukovaoca ili drugih lica za identifikaciju tog lica. Principi obrade ličnih podataka ne primenjuju se na anonimizovane podatke koji nisu više podaci o ličnosti lični.

Pseudonimizacija (sinonim: kodiranje): Obrada ličnih podataka na takav način da na dalje ne može biti povezan sa specifičnim fizičkim licem bez upotrebe dodatnih informacija. Takve dodatne informacije moraju da se drže odvojeno i da su zaštićene tehničkim i organizacionim merama koje osiguravaju da se podaci o ličnosti ne mogu pridružiti fizičkom licu. Pseudonimizacija smanjuje, ali ne eliminiše potpuno sposobnost povezivanja ličnih podataka sa fizičkim licem na koga se podaci odnose. Ovi podaci su još uvek lični podaci i na njih se odnose načela obrade ličnih podataka.

Prekogranična obrada ličnih podataka: Obrada ličnih podataka koja se vrši u kontekstu aktivnosti Kompanije rukovaoca ili obrađivača u više država EU gde su rukovalac ili obrađvač postavljeni u više država EU; ili obrada ličnih podataka koja se vrši u kontekstu aktivnosti jedne kompanije rukovaoca ili obrađivača u EU, ali koja značajno utiče ili će verovatno značajno uticati na lica u više od jedne države EU.

Nadzorno telo (Supervisory Authority): Nezavisno javno telo koje je uspostavljeno u državama članicama EU prema čanu 51 EU GDPR i u Republici Srbiji prema Članu 73 Zakona – Poverenik.

4. Osnovna načela obrade podataka o ličnosti

Načela (principi) zaštite podataka opisuju osnovne odgovornosti organizacije koja rukuje podacima o ličnosti. Prema članu 4 tačka 8) Zakona rukovalac (kontrolor) „je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje“.

4.1. Zakonitost, poštenje i transparentnost

Podaci o ličnosti moraju se skupljati i obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose (GDPR princip “zakonitosti, poštenja i transparentnosti”). Zakonita obrada je obrada koja se vrši u skladu sa ovim Zakonom, Član 5(1), odnosno drugim zakonom kojim se uređuje obrada.

4.2. Ograničenje namene

Podaci o ličnosti moraju se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama (na primer, profilisanje i marketing) (“ograničenje u odnosu na svrhu obrade”, Zakon, član 5(2)).

4.3. Minimizacija podataka

Lični podaci skupljani, obrađivani i pohranjivani u Kompaniji moraju biti adekvatni, relevantni i ograničeni na minimalnu količinu koja je neophodna za namene za koje su skupljani, obrađivani i pohranjivani. Kompanija mora primeniti anonimizaciju ili pseudonimizaciju podataka o ličnosti ako postoji visok rizik za prava i slobode fizičkih lica i mogućnost da se smanji rizik za fizička lica.

4.4. Tačnost

Podaci o ličnosti skupljeni u Kompaniji moraju biti tačni i, gde je neophodno, ažurno održavani. Kompanija će preduzeti racionalne korake da se netačni lični podaci, imajući u vidu namenu za koju su skupljani i obrađivani, blagovremeno izbrišu ili isprave (Zakon, član 5(4)).

4.5. Ograničen period čuvanja

Lični podaci će se čuvati u Kompaniji u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade (“ograničenje čuvanja”, Zakon, član 5(5).

4.6. Integritet, poverljivost i raspoloživost

Uzimajući u obzir poslednju tehnologiju i druge raspoložive mere zaštite podataka i informacija, troškove implementacije i verovatnoću i intenzitet rizika za lične podatke, Kompanija mora primeniti odgovarajuće tehničke i organizacione mere za obradu ličnih podataka na način koji osigurava odgovarajuću bezbednost ličnih podataka, ukljuujući raspoloživost kada su potrebni i zaštitu od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog pristupa ili otkrivanja (Zakon, član 5(6)).

4.7.Kontrolisana odgovornost

Direktor Kompanije kao rukovalac (kontrolor) podataka je odgovoran i sposoban da demonstrira usaglašenost sa gore opisanim načelima Zakona zaštite podataka o ličnosti.

5. Izgradnja sistema zaštite podataka u poslovnim aktivnostima Kompanije

Da bi demonstrilara usaglašenost sa načelima zaštite podataka o ličnosti Zakona, Kompanija će ugraditi sistem zaštite podataka u poslovne procese i aktivnosti.

5.1. Obaveštavanje fizičkog lica

Kompanija mora objaviti Obaveštenje o privatnosti na web sajtu Kompanije i napraviti link prema ovoj Politici. Obaveštenje o privatnosti treba da sadrži sve neophodne informacije koje se odnose na skupljanje podataka, aktivnosti obrade, vreme zadržavanja podataka, mere zaštite podataka, lokaciju obrade, odgovornosti itd. (videti sekciju 6.1 Politike).

5.2. Izbor i pristanak fizičkog lica

U poslovanju Kompanije fizička i pravna lica (lica na koja se podaci odnose) daju eksplicitno svoj pristanak za skupljanje i obradu njihovih ličnih podataka u zakonski uzajamno prihvaćenim i potpisanim komercijalnim ili nekomercijalnim ugovorima (videti 6.2 sekciju Politike) i ostalih komercijalnih ugovora.

5.3. Skupljanje podataka

Kompanija mora nastoji da skuplja što je manju moguću količinu ličnih podataka. Ako lične podatke u ime Kompanije skuplja treća strana Lice za zaštitu podataka o ličnosi, ili lice zaduženo za zaštitu podataka o ličnosti u Kompaniji, mora osigurati da se lični podaci skupljaju na zakonskoj osnovi.

5.4. Upotreba, zadržavanje i odlaganje podataka

Namene i metodi obrade, ograničeno pohranjivanje i zadržavanje ličnih podataka mora biti konzistentno sa informacijama sadržanim u Obaveštenju o privatnosti. Kompanija će održavavati tačnost, integritet, poverljivost, raspoloživost i relevantnost podataka o ličnosti kroz sve aktivnosti namennjene obrade. Adekvatni mehanizmi tehničke i organizacione zaštite projektovani su u Kompaniji da štite lične podatke od krađe, pogrešne upotrebe ili zloupotrebe i spreče proboj ličnih podataka. Direktor Kompanije je odgovoran za usaglašenost navedenu u ovoj sekciji:

 

  1. Kopiranje ili dupliranje podataka nikada se ne sme vršiti bez znanja Direktora Kompanije, sa izuzetkom stvaranja rezervnih kopija, osim dok je neophodno za osiguranje namenjene obrade, kao i za regulatorno zadržavanje podataka.
  2. Posle zaključivanja rada po ugovoru ili SLA (Service-level agreement), ili ranije po zahtevu Kompanije, a najkasnije po završetku ugovornih ili SLA obaveza, Kompanija će na zahtev prethodnog pristanka klijenta, izbrisati, ili šifrovati (anonimizovati) podatke i arhivirati zajedno sa ugovorima i SLA za čuvanje u zakonskom periodu (do 10 godina) ili po potrebi duže.

Dokumentacija koja je korišćena da demonstrira regularnu obradu podataka u skladu sa ugovormo i SLA, Kompanija će pohraniti i čuvati duže od perioda trajanja ugovora i SLA u skladu sa odgovarajućim zakonskim periodom zadržavanja.

5.5. Otkrivanje podataka trećim stranama

Kad god Kompanija koristi poverljivu treću stranu (dobavljača ili poslovnog partnera) da obrađuje podatke o ličnosti u njeno ime, Lice za zaštitu podataka o ličnosti ili imenovano lice za poslove zaštite ličnih podataka, mora osigurati da će obrađivač obezbediti adekvatne tehničke i organizacione mere zaštite podataka o ličnosti koje su proporcioanlne procenjenom riziku. Za ovu svrhu mogu se koristiti Politika zaštite privatnosti treće strane (dobavljača) i usaglašen upitnik o zahtevima zaštite za treću stranu.

Kompanija mora ugovorom zahtevati od treće strane (dobavljača ili poslovnog partnera) da obezbedi isti nivo zaštite privatnosti i bezbednosnih mera za zaštitu ličnih podataka. Dobavljač ili poslovni partner moraju obrađivati lične podatke samo da ispune svoje ugovorne obaveze prema Kompaniji ili na osnovu instrukcije koja može sadržavati zakonske, legitimne i druge interese Kompanije i nikako za druge svrhe. Ako dobavljač obrađuje lične podatke zajedno sa nezavisnom trećom stranom od poverenja, Kompanija mora eksplicitno specifikovati njihove odgovornosti, a treća strana dobavljača mora potpisati relevantan ugovor ili SLA ili drugi legalni obavezujući dokument, kao što je Sporazum o obradi podataka sa dobavljačem.

  1. Dobavljač će osigurati da Kompanije može verifikovati usaglašenost sa obavezama dobavljača u skladu sa članom 26 Zakona. Dobavljač (na primer iz zemlje EU) će na zahtev Kompanije dostaviti neophodne informacije o tehničkoj i organizacionoj zaštiti podataka i, posebno, demonstrirati primenu tehničkih i organizacionih mera zaštite podataka. Dokaz o primeni ovih mera može se obezbediti usaglašavanjem sa kodeksom postupanja u skladu sa čl. 59 Zakona;
  2. Sertifikatom usaglašenosti sa odobrenom procedurom sertifikacije prema Članu 61, Zakona;
  3. Važećim sertifikatom o proveri, izveštajem ili delom izveštaja obezbeđenog od strane nezavisnog tela (na primer: Lica za zaštitu podataka o ličnosti, Odeljenja IT sektora za informacionu bezbednost, inspektora (proverivača) za proveru zaštite privatnosti podataka, ili proverivača sistema kvaliteta);
  4. Odgovarajućim sertifikatom od strane internog ili nezavisnog tima za sertifikaciju informacione bezbednosti (na primer ISO/IEC 27001);
  5. Gde je, u pojedinačnim slučajevima, neophodna provera i kontrola Kompanije ili proverivača kojeg Kompanije postavi, takva provera i kontrola mora se vršiti u radno vreme i bez interferencije sa operacijama dobavljača, na osnovu prethodnog obaveštenja i posmatranjem odgovarajućeg perioda na koji se obaveštenje odnosi. Dobavljač može takođe odrediti da je takva provera i kontrola predmet prethodnog obaveštenja, opservacije odgovarajućeg perioda za koji se obaveštenje daje i izvršavanje preduzetih mera poverljivosti za zaštitu podataka drugih kupaca ili dobavljača i poverljivosti implementiranih tehničkih i organizacionih mera i mera samozaštite. Dobavljač je ovlašćen da odbije proverivače koji su konkurencija dobavljaču;
  6. Gde za Kompaniju inspekciju vrši nadzorni organ za zaštitu podataka o ličnosti ili drugi ovlašćeni organ sa statutarnim kompetencijama, gornji paragraf 3 će se primeniti sa mogućnošću neophodnih izmena. Izvršavanje preduzetih mera zaštite poverljivosti neće se zahtevati, ako takvo nadzorno telo ima profesionalnu ili statutarnu obavezu zaštite poverljivosti čije je kršenje predmet sankcija prema primenljivom krivičnom zakonu.

5.6. Prekogranični prenos podataka o ličnosti

Pre prenosa ličnih podataka izvan evropske ekonomske zone (EEA) kao i iz Republike Srbije (Član 63, Zakona) moraju se koristiti adekvatne mere samozaštite obezbeđene u standardnom članu Ugovora, uključujući potpisivanje Ugovor o prenosu podataka, kako EU GDPR i Zakon zahtevaju, i u situacijama gde to drugi propisi zahtevaju, sa dobijenim ovlašćenjem lokalnog nadležnog tela za zaštitu podataka (Poverenik za zaštitu podataka o ličnosti u Srbiji). Entitet koji prima lične podatke mora se usaglasiti sa skupom principa obrade ličnih podataka opisanih u proceduri Prekograničnog prenosa podataka koju propisuje Poverenik.

 

Opšta načela prenosa podataka (Član 63, Zakona):

Svaki prenos ličnih podataka koji podležu obradi ili su namenjen za obradu posle prenosa u treću zemlju ili u neku međunarodnu organizaciju izvršiće se samo ako, podležu drugim odredbama (čl. 64, 65. i 67. ovog Zakona), ako su uslovi postavljeni u ovom poglavlju usaglašeni sa rukovaocem i obrađivačem, uključujući i za dalji prenos ličnih podataka iz jedne treće zemlje ili međunarodne organizacije u drugu treću zemlju ili međunarodnu organizaciju. Sve odredbe u ovom poglavlju biće primenjene da bi se osigurao nivo zaštite fizičkih lica zagarantovan Zakonom. Rukovalac je odgovoran da vodi evidenciju o prenosu podataka o ličnosti u druge države ili međunarodne organizacije (Član 47 tačka 5) Zakona), uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog Zakona.

 

Prenos podataka podleže odgovarajućim merama samozaštite (Član 64 Zakona):

  1. U odsustvu odluke prema članu 64 tačka 3) Zakona, neki rukovalac ili obrađivač može preneti lične podatke u neku treću zemlju ili neku međunarodnu organizaciju, samo ako je kontrolor ili obrađivač obezbedio odgovarajuće mere samozaštite (Član 65 Zakona), i pod uslovom da su raspoložive mere koje nameću prava lica na koja se podataci odnose i efektivni pravni lek za otklanjanje posledica.
  2. Odgovarajuće mere samozaštite navedene u paragrafu 1 mogu se obezbediti, bez zahteva bilo kojeg specifičnog ovlašćenja, od nadzornog organa, sa: 

(a) Zakonskim obavezujućim i instrumentom koji nameće obavezu izvršavanja sa javnom vlasti ili nadleđnim telom;

(b) Obavezujućim organizacionim pravilima za evidenciju radnji obrade u skladu sa članom 47 Zakona;

(c) Standardnim klauzulama zaštite podataka usvojenim od strane EU Komisije u skladu sa procedurom ispitivanja navedenom u Članu 93(2) GDPR i Članu 50, Zakona;

(d) Standardnim klauzulama zaštite podataka usvojenim od nadzornog organa i odobrenog od EU Komisije prema Članu 93(2) GDPR i Članu 51 Zakona;

(e) Odobrenim kodom kontrola zaštite prema Članu 59, Zakona zajedno sa obavezujućim i nametnutim angažovanjem rukovaoca i obrađivača u trećoj zemlji za primenu adekvatnih mera samošaštite, uključujući zaštitu prava vlasnika ličnih podataka; ili

(f) Odobren mehanizam sertifikacije prema Člnu 61 Zakona zajedno sa obavezujućim i nametnutim angažovanjem rukovaoca i obrađivača u trećoj zemlji za primenu odgovarajućih mera samozaštite, uključujući zaštitu prava fizičkih lica.

5.7. Prava pristupa fizičkog lica podacima

Kada radi kao rukovalac (kontrolor) podataka, Direktor Kompanije je odgovoran da obezbedi licu na koje se podaci odnose pogodan mehanizam za pristup koji mu omogućava da pristupi svojim ličnim podacima i dozvoli mu da ažurira, ispravi, izbriše ili prenese svoje podatke o ličnosti, ako odgovara ili se zahteva po zakonu. Mehanizam za pristup fizičkih lica na koje se podaci o ličnosti odnose biće detaljnije opisan u Proceduri za zahtev fizičkih lica za pristup podacima (koju propisuje Poverenik) i obezbeđen uz manuelnu pomoć administratora IKT sistema Kompanije.

5.8. Prenosivost podataka o ličnosti

Na pisani zahtev lica na koje se podaci odnose, Kompanija će besplatno dostaviti kopiju podataka koje je dobila od lica, u struktuiranom formatu, ili je preneti drugom rukovaocu. Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti će takav zahtev obraditi u roku od mesec dana od dana podnošenja pisanog zahteva, ako zahtev nije prekomeran (svakodnevan) i ako ne utiče na prava i podatke o ličnosti drugih lica.

5.9. Pravo na zaborav (brisanje podataka)

Fizičko lice na koje se podaci odnose može zahtevati brisanje svojih ličnih podataka (Čl. 30, Zakona). Kada Kompanija radi kao rukovalac, Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti preduzeće neophodne akcije (uključujući i tehničke mere) da o zahtevu informiše sve treće strane koje koriste ili obrađuju podatke i u razumnom roku (8 do 16 dana) izbriše zahtevane podatke.

5.10. Odgovornost i nadoknada štete

U slučaju prigovora ili nanete štete za prava i slobiode fizičkih lica, Kompanija i klijent (dobavljač, partner) će biti odgovorni licu na koje se podaci odnose, u skladu sa Zakonom (Članovi 82 do 86, Zakona).

6. Smernice za poštenu obradu podataka o ličnosti

Podaci o ličnosti se u Kompaniji moraju obrađivati samo kada su eksplicitno ovlašćeni od Lica za zaštitu podtaka o ličnosti ili lica imenovanog za poslove zaštite podataka u Kompaniji i odobreni od Direktora Kompanije kao rukovaoca podataka.

Kompanija mora da proceni i odluči da li da izvrši Procenu uticaja obrade na zaštitu podataka – DPIA (Data Protection Impact Assessment) za svaku aktivnost obrade u skladu sa smernicama (Član 54, Zakona).

6.1. Obaveštenje o privatnosti za fizička lica

U vreme skupljanja ili pre skupljanja podataka o ličnosti za svaku vrstu aktivnosti obrade, uključujući, ali se ne ograničavajući na kupovinu i prodaju roba, usluge ili markentiške aktivnosti, Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti je odgovorno da propisno obavesti lica na koje se podaci odnose o sledećem: vrsti skupljenih podataka o ličnosti, namenama obrade, metodama obrade, pravima lica na koje se podaci odnose, periodu zadržavanja, potencijalnom međunarodnom prenosu podataka, deljenju podataka sa trećim stranama i merama Kompanije za zaštitu podataka o ličnosti. Ove informacije se obezbeđuju kroz dokument Obaveštenje o privatnosti (Privacy Notice).

Ako Kompanija ima višestruke i različite aktivnosti obrade i obrađuje različite vrste podataka o ličnosti, treba izraditi različita Obaveštenja o privatnosti, zavisno od vrsta obrade podataka i kategorija podataka (na primer, jedno za namenu slanja poštom, a drugo za slanje špedicijom, gde se razlikuju aktivnosti obrade).

Ako se podaci o ličnosti dele sa trećom stranom, Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti Kompanije mora osigurati da je lice na koje se podaci odnose obavešteno o tome kroz Obaveštenje o privatnosti.

Kada se lični podaci prenose u treću zemlju prema Politici prekograničnog prenosa i Zakonu, u Obaveštenju o privatnost treba jasno navesti državu u koju se podaci prenose i entitet kojem se podaci prenose.

6.2. Dobijanje pristanka

Kad god je obrada ličnih podataka zasnovana na pristanku fizičkog lica, ili na drugom zakonskom osnovu, Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti u Kompaniji je odgovorno za evidentiranje i održavanje zapisa o tom pristanku, informisanje fizičkih lica, obezbeđivanje opcije za dostavljanje pristanka, i osiguranje da njihov pristanak (kad god se pristanak za obradu daje na zakonskoj osnovi) može biti u svako vreme povučen, na osnovu pisanog zahteva.

Kada se skupljaju podaci o deci ispod 15 godina starosti, Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti mora osigurati da roditelj (staralac) deteta, dobije Formular za roditeljski pristanak koji propisuje Nadzorno telo (Poverenik) (Član 16, Zakona). Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije.

Kada se zahteva korekcija, dopuna ili uništavanje zapisa podataka o ličnosti, Lice za zaštitu podataka o ličnosti, ili lice imenovano za poslove zaštite podataka o ličnosti osiguraće da se ovi zahtevi izvrše u razumnom vremenu, registruju i čuvaju logovi zapisa o zahtevima.

Podaci o ličnosti se u Komapniji obrađuju samo za namene za koje su originalno skupljeni. U slučaju da Kompanija želi obrađivati podatke za drugu namenu, Kompanija će tražiti eksplicitan pristanak od lica na koje se podaci odnose u jasnom i konciznom pisanom formatu. Svaki takav zahtev će uključivati originalnu namenu(e) za koju su se podaci skupljali, novu ili dodatnu namenu(e) obrade, kao i razlog za promenu namene(a) obrade. Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti u Kompaniji odgovorno je za usaglašenost sa pravilima u ovoj sekciji.

Metod skupljanja podataka o ličnosti u Kompaniji usaglašen je i biće usaglašavan ubuduće sa Zakonom o zaštiti podataka o ličnosti, dobrom praksom i standardima zaštite podataka i informacija.

Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti je odgovorno za kreiranje i održavanje Registra obaveštenja o privatnosti.

7. Organizacija i odgovornosti

Odgovornost za osiguranje odgovarajuće obrade podataka o ličnosti je svakog ko radi za ili sa Kompanijom i ima pristup podacima o ličnosti koje Kompanija obrađuje.

Ključne odgovornosti za obradu podataka o ličnosti u Kompaniji imaju sledeće organizacione uloge:

Direktor Kompanije: Odobrava opštu strategiju Kompanije i donosi odluke o skupljanju, obradi i zaštiti podataka o ličnosti klijenata u Kompaniji, radi kao rukovalac aktivnosti obrade, određuje namenu obrade, organizuje i vodi evidekciju o aktivnostima obrade podataka o ličnosti u Kompaniji (Član 47(5) Zakona).

Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti: Odgovorno je za menadžment programa za zaštitu podataka o ličnosti, za razvoj i promociju politike zaštite privatnosti krajnjim korisnicima i za druge aktivnosti definisane u opisu poslova Lica za zaštitu podataka o ličnosti (Članovi 56, 57 i 58 Zakona);

Pravnik Kompanije: Monitoriše i analizira zakone o zaštiti podataka o ličnosti, prati promene zakonskih regulativa, razvija zahteve za usaglašenost i pomaže sektorima Kompanije u dostizanju ciljeva Politike zaštite privatnosti.

IT sektor Kompanije:

  • Odgovoran je da osigura da svi sistemi, servisi i oprema koja se koristi za obradu i  pohranjivanje podataka o ličnosti dostignu prihvatljive standarde informacione bezbednosti i zaštite podataka o ličnosti.
  • Izvršava regularne provere i skeniranja da osigura da tehničke mere zaštite hardvera i softvera, i organizacione mere funkcionišu propisno.

Marketing menadžer:

  • Odgovoran je za odobravanje svakog saopštenja o zaštiti podataka o ličnosti koje se prilaže uz komunikaciona sredstva kao što su e-mail, faks poruke i pisma.
  • Odgovara na svaki upitnik o zaštiti podataka od strane novinara ili drugih medija.
  • Gde je neophodno, radi sa Licem za zaštitu podataka o ličnosti ili licem imenovanim za poslove zaštite podataka o ličnosti, da osigura marketing i da usaglasi inicijative za promociju Kompanije sa principima zaštite podataka. 

Menadžer ljudskih resursa:

  • Odgovoran je za podizanje svesti svih zaposlenih o zaštiti podataka o ličnosti klijenat a.
  • Organizuje obuku zaposlenih o zaštiti podataka o ličnosti i razvoj svesti zaposlenih koji rade sa podacima o ličnosti.
  • Osigurava zaštitu podataka o ličnosti od trenutka prijema do arhiviranja (s kraja na kraj) i da se podaci o ličnosti zaposlenih i klijenata obrađuju na osnovu legitimnih, neophodnih i poslovnih potreba zaposlenih i klijenata.

Menadžer za nabavku: Odgovoran je za prenos odgovornosti o podacima o ličnosti Kompanije dobavljaču i poboljšanje svesti dobavljača o zaštiti podataka o ličnosti, kao i za prosleđivanje zahteva za podatke o ličnosti trećoj strani koju dobavljač koristi. Organizaciona jedinica za nabavku zadržava pravo da proveri bezbednosne kapacitete dobavljača i treće strane.

Menadžer za prodaju: Odgovoran je za prenos odgovornosti za zaštitu podataka o ličnosti Kompanije kupcu i poboljšanje svesti kupaca o zaštiti podataka o ličnosti, kao i za prosleđivanje zahteva za zaštitu podataka o ličnosti trećoj strani.

8. Smernice za uspostavljanje vodećeg nadzornog tela

8.1. Neophodnost uspostavljanja vodećeg nadzornog tela

Identifikovanje vodećeg nadzornog tela (Supervisory Authority) za zaštitu podataka o ličnosti (Poverenik), važno je samo ako Kompanija vrši prekograničnu obradu ličnih podataka.

Prekogranična obrada podataka se vrši, ako:

  1. obradu ličnih podataka vrši podružnica (predstavništvo) Kompanije sa sedištem u drugoj državi članici EU; ili
  2. se obrada podataka o ličnosti vrši u jedinom sedištu Kompanije u EU, ali koja suštinski utiče ili je verovatno da će suštinski uticati na fizička lica u više od jedne članice EU.

8.2. Glavno sedište Kompanije i vodeće nadzorno telo

8.2.1. Glavno sedište rukovaoca podataka o ličnosti

Direktor Kompanije treba da identifikuje glavno sedište, koje je obično administrativno sedište uprave Kompanije, gde se donose strateške odluke, tako da se može odrediti vodeće nadzorno telo.

Ako predstavništvo ili društvo Kompanije, locirano u nekoj članici EU postane rukovalac i obrađivač i ako obrađuje nezavisno podatke o ličnosti građana EU na serveru u svom sedištu i ako na taj način odlučuje o prekograničnim aktivnostima obrade i prenosu podataka u glavno sedište Kompanije (Srbiju), samo tada treba da imenuje jedno vodeće nadzorno telo u toj državi EU.

8.2.2. Glavno sedište obrađivača podataka o ličnosti

Kada Kompanija radi i kao obrađivač podataka o ličnosti, onda će glavno sedište biti mesto centralne administracije u EU. U slučaju da mesto centralne administracije nije locirano u EU, glavno sedište biće sedište u Srbiji gde se vrše glavne aktivnosti obrade.

8.2.3. Glavno sedište rukovaoca i obrađivača podataka kompanije koja nema sedište u EU

Ako Kompanija nema glavno sedište u EU, a ima podružnicu, društvo ili predstavništvo u EU koje obrađuje podatke o ličnosti na serveru smeštenom u EU, onda je nadležno lokalno nadzorno telo iz države članice EU u kojoj podružnica, društvo ili predstavništvo ima sedište. Ako podružnica ili predstavništvo Kompanije smešteno u EU, obrađuje podatke o ličnosti samo online na serveru smeštenom u glavnom sedištu Kompanije, onda je nadležno nadzorno tele za glavno sedište Kompanije iz Srbije (Poverenik).

9. Odgovor na incident povrede podataka o ličnosti

Kada Kompanija, tj. Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti, uoči ili posumnja, ili identifikuje incident stvarne povrede ličnih podataka, mora da preduzme internu proveru, spreči širenje incidenta i zahteva blagovremene mere oporavka sistema zaštite, u skladu sa ovom Politikom. Gde postoji rizik, posebno visok rizik za prava i slobode lica na koja se podaci odnose, Kompanija (tj. Lice za zaštitu podataka o ličnosti ili lice imenovano za poslove zaštite podataka o ličnosti) će obavestiti nadležno nadzorno telo (Poverenika) i Nacionalni CERT bez odlaganja, a najkasnije u roku od 72 sata, a u najkraćem mogućem roku vlasnike podataka (do 15 dana).

10. Provera i odgovornost

Kompanija će nastojati da proverava kvalitet implementacije ove Politike, da unapređuje tehnike i organizacione mere zaštite i kontrole podataka o ličnosti klijenata.

Svaki zaposleni u Kompaniji, koji obrađuje podatke o ličnosti moraju biti upoznati i obučeni o podacima o ličnosti, o sistemima kontrole i načinu prikupljanja i obrade, zakonskim propisima i odgovornostima koje proizilaze Zakone. Ako zaposleni u Kompaniji povredi prava i slobode lica na koje se podaci odnose, prema ovoj Politici, biće podvrgnut disciplinskim, prekršajnim ili krivičnim merama, zavisno od nanete štete poslovnom sistemu Kompanije.

11. Konflikt zakona

Ova Politika je namenjena da se Kompanija usaglasi sa zakonima i regulativama države u kojoj je sedište Kompanije. U slučaju bilo kojeg konflikta između ove Politike i primenljivih zakona i regulativa države u kojoj je glavno sedište Kompanije, važiće lokalni zakoni i regulative.

11.1. Obaveza informisanja, obavezna pisana dokumenata, izbor zakona

  1. Ako su lični podaci klijenata u Kompaniji predmet pretrage i privremenog oduzimanja (npr. u slučaju incidemta i digitalne forenzičke istrage), konfiskovanja u toku bankrotstva ili procedure nesolventnosti, ili sličnih događaja ili mera treće strane dok je pod kontrolom Kompanije, Kompanija će obavestiri klijenta o takvim akcijama bez ikakvog odlaganja.
  2. Kompanija će obavestiti bez kašnjenja sve zainteresovane strane o tim akcijama i to, da je bilo koji pogođen podatak samo u vlasništvu i zoni odgovornosti Kompanije, da je podatak na raspolaganju jedino Kompaniji, i da je Kompanija odgovorno telo u smislu zahteva Zakona o zaštiti podataka o ličnosti.
  3. Trajanje saopštenja ove Politike odgovaju trajanju komercijalnih ugovora, SLA i ostalih ugovora koje Kompanija zaključuje van svoje redovne delatnosti, a za potrebe obavljanja redovnih delatnosti.
  4. Nije dozvoljena izmena ove sekcije Politike i/ili bilo koje njene komponente, uključujući, ali se ne ograničavajući, na predstavnike i upozorenja klijenata. Ako postoji neka izmena biće validna i obavezujuća sve dok je u pisanoj mašinski čitljivoj (tekstualnoj) formi.
  5. U slučaju bilo kojeg sukoba propisa, Zakon o zaštiti podataka o ličnosti će imati prednost nad zahtevima ove Politike. Gde individualni zahtevi sekcija ove politke nisu validni ili primenljivi, to neće uticati na validnost i primenljivost drugih zahteva ove Politike.
  6. Politika se usaglašava sa zakonoma Republike Srbije. Samo nadležni sudovi u Republici Srbiji će imati jurisdikciju u odnosu na bilo koji nesporazum, kontraverznost ili potraživanju u vezi prava i sloboda fizičkih lica na koja se podaci odnoce, ili svakog sledećeg aneksa ugovora sa klijentima, uključujući, bez ograničavanja, njegova formiranja, validaciju, obavezujući efekat, interpretaciju, izvršavanje, povredu ili ukidanje, kao i ne ugovorne zahteve.

11.2. Obaveze dobavljača prema Kompaniji

Adekvatne tehničke i organizacione mere (Prilog 1), koje Kompanija primenjuje za zaštitu podataka o ličnosti, podložne su tehničkom progresu i daljem razvoju. U tom smislu, Kompaniji je dozvoljeno da implementira alternativne adekvatne mere zaštite podataka o ličnosti, pri čemu nivo bezbednosti definisanih mera zaštite ne sme biti smanjen, a bitne promene moraju biti dokumentovane.

Kompanija će u ugovoru ili SLA tražiti od klijenata (dobavljača i partnera), da primenjuju adekvatne tehničke i organizacione mere zaštite podataka o ličnost koje u ugovorima i SLA, ili aneksima ugovora i SLA, dobiju od Kompanije:

  1. Klijent će podržati Kompaniju/Rukovaoca u ispunjavanju prava i prigovora fizičkih lica prema Zakonu o zaštiti podataka o ličnosti i u skladu sa ovom Politikom.
  2. Klijent će dalje podržati Kompaniju/ Rukovaoca u usaglašavanju sa obavezama koje se odnose na zaštitu podataka o ličnosti, zahteve za izveštavanje o povredama podataka o ličnosti, procenu uticaja obrade podataka na zaštitu podataka o ličnosti i na prethodne konsultacije sa nadležnim nadzornim telima, što uključuje:
  1. Osiguranje odgovarajućeg nivoa zaštite podataka o ličnosti dobijenih od Kompanije, kroz adekvatne tehničke i organizacione mere zaštite koje uzimaju u obzir okolnosti i namenu obrade, procenjenu verovatnoću i intenzitet potencijalne povrede zakona i načela zaštite podataka zbog bezbednosnih ranjivosti, i omogućavaju trenutnu detekciju relevantnih događaja povreda.
  2. Obavezu trenutnog izveštavanja Kompanije o povredi podataka o ličnost.
  3. Dužnost pružanja pomoći Kompaniji u vezi sa obavezama Kompanije da obezbedi informacije koje se odnose na fizička lica i da trenutno dostavlja Kompaniji takve informacije.
  4. Podršku Kompaniji sa procenom uticaja obrade na zaštitu podataka o ličnost.
  5. Podršku Kompaniji sa prethodnom konsultacijom nadzornog organa.
  6. Klijent (dobavljač, partner) garantuje da će svim zaposlenim uključenim u ugovor o obradi podataka o ličnosti Kompanije, kao i drugim takvim licima koja mogu biti uključena u Ugovor o obradi podataka sa Kompanijom, u okviru obima odgovornosti klijenta, biti zabranjeno da obrađuju podatke izvan obima obrade datog instrukcijama Kompanije. Dalje, klijent garantuje da će svako lice koje obrađuje podatke u ime rukovaoca preduzeti mere za čuvanje tajnosti ili sprovoditi statutarnu obavezu za čuvanje tajnosti. Sve obaveze za čuvanje tajnosti treba da ostanu na snazi i po prekidu ili isteku Ugovora o obradi podataka Kompanije.

Klijent (dobavljač, partner) će blagovremeno obavestiti kontaktnu osobu u Kompaniji o svakom pitanju koje se odnosi na zaštitu podataka koji proističu iz Ugovora/Sporazuma sa Kompanijom.
Ako fizička lica podnesu bilo koji zahtev protiv Kompanije u skladu sa Čl. 82 Zakona o zaštiti podataka o ličnosti, klijent (dobavljač, partner) će podržati Kompaniju u odbrani protiv takvih zahteva, gde je moguće i opravdano.

 

12. Menadžment održavanja zapisa politike

Ime zapisa
Lokacija skladištenjaLice odgovorno za skladištenje
Kontrole za zaštitu zapisa
Vreme čuvanja
Formular pristanka vlasnika podataka (specifikovati folder u bazi podataka IKT sistema) Lice za zaštitu podataka o ličnostiSamo ovlašćeno lice može pristupiti formularu
10 godina
Formular za povlačenje pristanka lica čiji se podaci obrađuju
(specifikovati folder u bazi podataka IKT sistema)
Lice za zaštitu podataka o ličnostiSamo ovlašćeno lice može pristupiti formularu
10 godina
Formular za roditeljski pristanak
(specifikovati folder u bazi podataka IKT sistema)
Lice za zaštitu podataka o ličnostiSamo ovlašćeno lice može pristupiti formularu
10 godina
Formular za povlačenje roditeljskog pristanka
(specifikovati folder u bazi podataka IKT sistema)
Lice za zaštitu podataka o ličnostiSamo ovlašćeno lice može pristupiti formularu
10 godina
Ugovor o prenosu podataka o ličnostima
(specifikovati folder u Intranetu Kompanije)
Lice za zaštitu podataka o ličnostiSamo ovlašćeno lice može pristupiti formularu
5 godina od prestanka važnosti sporazuma
Registar obaveštenja o privatnosti
(specifikovati folder u Intranetu Kompanije)
Lice za zaštitu podataka o ličnostiSamo ovlašćeno lice može pristupiti formularu
Permanentno

13. Validacija i menadžment dokumenta

Validaciju ove politike vrše vlasnik (staratelj) ove politike, Lice za zaštitu podataka o ličnosti i Direktor koji mora kontrolisati i proveravati primenu politike o zaštiti privatnosti, a Lice za zaštitu podataka o ličnosti po potrebi i ažurirati dokument najmanje jedanput godišnje.

 

Ova politika stupa na snagu danom potpisivanja: 15.12.2022. godine

 

Direktor Kompanije

_______________________________________

Prilog 1. TEHNIČKE I ORGANIZACIONE MERE ZAŠTITE AKTIVNOSTI OBRADE PODATAKA O LIČNOSTI

Zaštita poverljivosti aktivnosti obrade podataka o ličnosti
Obrada podatakaKontrola zaštite aktivnosti obrade
Fizički pristup prostorijama za obradu podataka
Ključevi, sistemi zaštite prostorija, i/ili obezbeđenje na ulazu, alarmni sistemi, video nadzor.
Elektronski pristup sistemima za obradu i pohranjivanje podataka
Bezbedna lozinka, mehanizam za automatsko blokiranje/zaključavanje, dvokratna autentifikacija, šifrovanje nosača podataka/medija za pohranjivanje.
Pristup fizičkog lica za čitanja, kopiranja, izmene ili brisanja podataka u IS Kompanije
Koncept autorizacije prava pristupa fizičkog lica na koje se podaci odnose IKT sistemu Kompanije na bazi potrebe i analize rizika događaja sistemskog pristupa i davanje pristupa uz manuelnu pomoć administratora sistema Kompanije.
Izolovana obrada podataka
Sistemi za podršku više klijenata.
Proces obrade podataka o ličnosti
Pseudonimizacija: Obrada podataka o ličnosti na takav način/metod da se podaci ne mogu povezati sa specifičnim licem bez pomoći dodatnih informacija, pod uslovom da su ove informacije skladištene odvojeno i predmet su odgovarajućih tehničkih i organizacioneih mera zaštite.
Zaštita integriteta aktivnosti obrade podataka o ličnosti
Prenos podataka o ličnosti
Adekvatne tehničke mere zaštite koje uključuju šifrovanje, VPN veze, digitalni potpis za zaštitu od neovlašćenog čitanja, kopiranja i izmena ili brisanja podataka u prenosu.
Tačnosti unosa podataka o ličnosti
Kontrola logovanja i dokument menadžment sistema.
Zaštita raspoloživost i otpornosti ličnih podataka
Kontrola raspoloživosti i sprečavanje slučajne ili namerne destrukcije ili gubitka podataka o ličnosti
Strategija bekapovanja (online/offline; onsite/offsite), UPS sitem, antivirusna zaštita, firewwal, procedura za izveštavanje i plan vanrednih događaja.
Brz oporavak posle incidenta
Iz sistema za bekapovanje, oporavak izbrisanih podataka alatima i tehnikama digitalne forenzike.
Organizacione mere zaštite
Procedure za regularno testiranje, procenu i evaluaciju
Menadžment zaštite privatnosti
Politika zaštite privatnosti, Registar aktivnosti obrade
Menadžment odgovora na incidentPolitika upravljanja incidentom, Procedura prvog odgovora na incident
Podrazumevana i ugrađena zaštita podataka o ličnosti
Implementirana pseudonimizacija i minimizacija vidljivosti podataka o ličnosti za implementaciju načela zaštite podataka o ličnosti, integracija neophodnih mera zaštite (ISMS, Zakon) u procese obrade.

Ova kontrola se odnosi na količinu skupljanja podataka, obim obrade, period skladištenja i pristup podacima o ličnosti,

Osigurati da podrazumevano podaci o ličnosti nisu dostupni fizičkim licima bez intervencije čoveka za neki neodređen broj lica koji traže pristup svojim podacima, pa je manuelna pomoć administratora neophodna.
This control refers to the amount of data collection, processing scope, storage period, and access to personal information,

Ensuring that the default personal data is not available to natural persons without the intervention of a person for some people seeking access to their data, so the administrator's manual assistance is necessary.
Kontrola porudžbina, ugovora ili sporazuma od rizika obrade podataka o ličnosti Kompanije kod treće strane (dobavljač, partner)
Odgovarajuća instrukcija Kompanije za adekvatne tehničke i organizacione mere zaštite, jasan i nedvosmislen ugovor/sporazum, menadžement formalne porudžbine.