Politika o zaštiti podataka o ličnosti
Na osnovu čl. 41. Zakona o zaštiti podataka o ličnosti („Službeni glasnik RS”, broj 87/2018), dana 21. avgusta 2019. godine, Skupština društva Eki Transfers doo Beograd (u daljem tekstu: Eki Transfers) donosi sledeću:
POLITIKA O ZAŠTITI PODATAKA O LIČNOSTI
1. SVRHA I CILJ POLITIKE
Politika o zaštiti podataka o ličnosti (u daljem tekstu: Politika) je krovni dokument koji reguliše zaštitu podataka o ličnosti korisnika, zastupnika, zaposlenih, saradnika, konsultanata i drugih lica koji su u poslonom odnosu sa Eki Transfers, kao i drugih lica čije podatke Eki Transfers obrađuje, a u skladu saZakonom o zaštiti podataka o ličnosti Republike Srbijei drugim relevantnim propisima u oblasti zaštite podataka o ličnosti.
Ova Politika važi za sve Eki Transfers operativne organizacione delove –odeljenja i odseke u okviru njih.
Cilj je da se obezbedi pravna sigurnost i transparentnost u pogledu obrade podataka o ličnosti zaposlenih i drugih lica čija se podaci obrađuju, kao i da se utvrdi pravni osnov, svrha obrade, vrste podataka koje se obrađuju, prava fizičkih lica u pogledu obrade podataka o ličnosti, mere zaštite podataka, itd.
2. POJMOVI I SKRAĆENICE
- Podaci o ličnosti - odnose se na bilo koju informaciju koja se odnosi na individualno određena ili odrediva fizička lica
- Posebne vrste podataka o ličnosti - su podaci kojim se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje iličlanstvo u sindikatu, genetski podataci, biometrijski podaci, podaci ozdravstvenom stanju, seksualnom životu ili seksualnoj orijentaciji fizičkog lica;
- Obrada podataka o ličnosti - podrazumeva bilo koje radnje koje se vrše na podacima o ličnosti, kao što je prikupljanje, skladištenje, promena, pristup, korišćenje, obelodanjivanje ili davanje na raspolaganje na drugi način trećim licima, kombinovanje, blokiranje, brisanje ili uništenje
- Pristanak - lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose;
- Povreda podataka o ličnosti - je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani
- Rukovalac - je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim seodređuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje;
- Obrađivač - fizičko ili pravno lice, odnosno organ vlasti, koji obrađuje podatke o ličnosti u ime rukovaoca.
- Zaposleni - obuhvata pored zaposlenih po osnovu Ugovora o radu, zastupnika i njihovih zaposlenih i lica angažovana na osnovu ugovora o delu, autorskih ugovora, ugovora o pružanju konsultantskih usluga i slično
- Poverenik - Poverenik za informacije od javnog značaja i zaštitu podataka oličnosti Republike Srbije
- ZZPL - Zakon o zaštiti podataka o ličnosti („Službeni glasnikRS”, broj 87/2018)
- ZoR - Zakon o radu Republike Srbije („Službeni glasnik RS”, 24/2005,61/2005, 54/2009, 32/2013, 75/2014, 13/2017 - odluka Ustavnog suda i113/2017)
3. LICE ZA ZAŠTITU PODATAKA (DPO)
Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:
- informiše i daje mišljenje rukovaocu/obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
- prati primenu zakonskih odredaba i internih propisa rukovaoca / obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
- daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i pratipostupanje po proceni, u skladu sa Zakonom;
- sarađuje sa Poverenikom, predstavlja kontakt osobu za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje potrebnih mišljenja.
4. Principi zaštite podataka
Eki Transfers, polazeći od premise da postojanje odgovarajućih smernica za korišćenje podataka o ličnosti radi postizanja poslovnih ciljeva, jeste preduslov za korišćenje takvih podataka, sledećim načelima je odredio kako Eki Transfers, njegovi organizacioni delovi kao i mreža zastupnika, svi zaposleni i spoljni saradnici, upravljaju podacima o ličnosti zaposlenih, korisnika, saradnika, poslovnih partnera i pružalaca usluga.
- Eki Transfers je posvećen zaštiti podataka o ličnosti korisnika, zaposlenih, saradnika, poslovnih partnera i pružalaca usluga.
- Eki Transfers obrađuje i održava podatke o ličnosti isključivo u legitimne poslovne svrhe i transparentno u smislu toga kada i kako prikuplja, koristi ili deli podatke o ličnosti.
- Eki Transfers obaveštava korisnike u razumnoj meri o zaštiti njihovih podataka o ličnosti i kontroli nad njihovim podacima.
- Pri postizanju svojih poslovnih ciljeva, Eki Transfers nastoji da koristi podatke o korisnicima za dobrobit korisnika.
- Eki Transfers je posvećen tome da postupa u skladu sa zakonskim i regulatornim obavezama u svim sferama svog delovanja.
4.1 Prikupljanje i obrada
Eki Transfers pribavlja podatke o ličnosti na zakonit i etički način, po potrebi, uz saglasnost lica čiji se podaci obrađuju. Podaci o ličnosti obrađuju se u skladu sa važećim zakonskim zahtevima. Prikupljanje podataka o ličnosti je ograničeno na ono što je neophodno u svrhe koje odredi Eki Transfers u obaveštenju upućenom licima čiji se podaci obrađuju ili u komunikaciji sa njima, kako je opisano dole.
4.2 Obaveštavanje
Eki Transfers, kada se to zahteva po važećem zakonu, ili kada to smatra adekvatnim, dostaviće licima čiji se podaci obrađuju relevantne informacije u pogledu obrade njihovih podataka o ličnosti. Ove informacije obuhvataju, između ostalog kontakt sa Licem za zaštitu podataka, svrhu i pravni osnov za prikupljanje podataka o ličnosti. Kada se to bazira na legitimnom poslovnom interesu, taj interes će se i obrazložiti. Ovo obaveštenje će biti sačinjeno jasno i biće jednostavno formulisano u trenutku ili pre prikupljanja podataka o ličnosti. Radi transparentnosti, Eki Transfers će dostaviti ove informacije korisnicima u obaveštenju koje je dostupno javnosti na web sajtu i/ili će isti činiti sastavni deo opštih uslova pružanja usluga koje Eki Transfers kao platna institucija pruža korisnicima, tako i preko drugih kanala, kada je to adekvatno. Obaveštenje za zaposlene biće dostupno na oglasnoj tabli Eki Transfersa i/ili drugim internim kanalima.
4.3 Izbor i saglasnost
Eki Transfers će, u skladu sa Zakonom, uvek kada to bude potrebno obezbediti saglasnost lica čiji se podaci obrađuju pre prikupljanja ili obrade podataka o ličnosti, i ponudiće, kada je to primenljivo, licima čiji se podaci obrađuju mogućnost da izaberu (izuzmu) da li se njihovi podaci o ličnosti mogu obelodaniti trećem licu ili koristiti u bilo koje druge svrhe pored svrhe zbog koje su prvobitno prikupljeni ili naknadno autorizovani od strane lica čiji se podaci obrađuju.
4.4 Korišćenje i čuvanje
Eki Transfers će obrađivati i obelodanjivati podatke o ličnosti isključivo u poslovne svrhe, a u cilju zaštite privatnosti lica čiji se podaci obrađuju i zaštite podataka o ličnosti, kao i u skladu sa važećim zakonom. Eki Transfers će koristiti podatke o ličnosti isključivo u određene svrhe, podaci o ličnosti se neće se čuvati duže nego što je neophodno za ispunjenje navedene svrhe, i njima će se raspolagati na način koji sprečava gubitak, krađu, zloupotrebu ili neovlašćen pristup.
4.5 Mere zaštite pri čuvanju podataka o ličnosti
Eki Transfers će utvrditi mere za razumnu i adekvatnu zaštitu podataka o ličnosti protiv neovlašćenog korišćenja, obelodanjivanja, uništenja, kao i promene u skladu sa rizicima koji postoje pri obradi podataka.
4.6 Obrada osetljivih podataka
Eki Transfers po prirodi svog posla ne prikuplja osetljve podatke, ali u slučaju da dođe u posed istih usvojiti će dodatne mere za određene vrste podataka o ličnosti (npr. osetljive informacije) ili one podatke koji inače zahtevaju dodatnu zaštitu. Pored toga, Eki Transfers može usvojiti dodatne mere za izlaženje u susret lokalnim običajima ili socijalnim očekivanjima kada je u pitanju obrada osetljivih informacija.
4.7 Integritet podataka
Eki Transfers će primeniti razumne mere da obezbedi da podaci o ličnosti koje drže i obrađuje budu tačni i potpuni kada je(su) u pitanju svrha(e) za koju(e) se podaci o ličnosti koriste. Eki Transfers će koristiti samo podatke o ličnosti koje se smatraju adekvatnim i relevantnim za svrhe za koje se koriste.
4.8 Pristup
Na zahtev ili tamo gde je to potrebno ili je inače primereno, Eki Transfers će uložiti napore da omoguće u razumnoj meri licima čiji se podaci obrađuju pristup podacima o ličnosti koje drže o njima. Međutim, takav pristup može biti uskraćen od strane Eki Transfersa, npr. kada bi takav pristup mogao potencijalno povrediti prava i slobode drugih, ili potencijalno obelodaniti informacije koje se tiču bilo koje tekuće istrage. Pored toga, Eki Transfers će uložiti napore za preduzimanje razumnih koraka da se licima čiji se podaci obrađuju dopusti da isprave, promene ili izbrišu netačne ili nepotpune informacije o njima.
4.9 Obelodanjivanje trećim licima
Eki Transfers će obelodaniti podatke o ličnosti trećim licima samo u zakonske i poslovne svrhe i samo kada Eki Transfers dobije garancije da će se podaci o ličnosti adekvatno obrađivati i štititi i biti u skladu sa važećim zakonima i propisima.
4.10 Prenos podataka o ličnosti na međunarodnom nivou
Eki Transfers će vršiti prenos podataka o ličnosti ili omogućiti pristup subjektima u drugim zemljama isključivo u zakonske i poslovne svrhe. Eki Transfers će rutinski preispitivati lokalne zakone, propise i politiku u cilju obrade i zaštite podataka o ličnosti u cilju obezbeđivanja da njegove obaveze i obaveze primalaca u drugim zemljama budu ispunjene u smislu obrade i zaštite podataka o ličnosti.
4.11 Praćenje i sprovođenje
Eki Transfers će obezbediti da saradnici koji obrađuju ili imaju pristup podacima o ličnosti budu svesni i postupaju u skladu sa sadržajem ove Politike i adekvatno će informisati i obučiti svoje osoblje kada je u pitanju ova Politika. Rezultat nepostupanja u skladu sa ovom Politikom može biti preduzimanje disciplinskih mera, pa i prestanak radnog odnosa.
5. Upravljanje zaštitom podataka
Važan element zaštite podataka o ličnosti je bezbednost takvih podataka u svim fazama obrade, kako pri mirovanju ili prenosu preko sopstvene mreže Eki Transfersa ili pri prenosu trećim licima. Načela bezbednosti informacija uređuju se internim aktom Eki Transfersa za bezbednosti informacija. Bezbednost informacija i zaštita podataka imaju komplementarne ciljeve koji se posebno preklapaju povodom pitanja kao što su reagovanje na bezbednosni incident, kontrola za ublažavanje rizika pri zaštiti podataka, kao i stvaranje adekvatnog nivoa svesti u pogledu zaštitepodataka.
6. Upravljanje i odgovornost
a. Menadžment (Skupština i Generalni direktor) Eki Transfersa odgovara za sledeće:
- Raspoloživost adekvatnih resursa i budžeta za podršku zaštiti podataka
- Podršku omogućavanju primene ove Politike u okviru svih procesa gde se podaci o ličnosti prikupljaju i obrađuju.
b. Vlasnici procesa
Vlasnici procesa su odgovorne poslovne funkcije (organizacioni delovi) gde se podaci o ličnosti prikupljaju i obrađuju.
Vlasnik procesa odgovoran je za sledeće:
- Postupanje u skladu sa relevantnim procesima određenim u procedurama zaštite podataka.
- Održavanje kvaliteta, tačnost, dostupnost (i obezbeđivanje prava lica čiji se podaci obrađuju) podataka i praćenje procedura prilikom povrede zaštite podataka.
- Obezbeđivanje adekvatnog sprovođenja procesa upravljanja, sistema i alata za podržavanje Politike zaštite podataka o ličnosti u okviru njihovih funkcionalnih oblasti (npr. vođenje evidencija i procena rizika)
- Obezbeđivanje da se obrada podataka o ličnosti vrši u skladu sa internim i eksternim pravilima i važećim propisima o zaštiti podataka.
- Obezbeđivanje adekvatnog nivoa svesti o zaštiti podataka, u svim fazama i aktivnostima pri poslovnoj obradi podataka o ličnosti.
- Obezbeđivanje da su relevantni pojedinci u funkcionalnim oblastima adekvatno obavešteni i obučeni u pogledu rizika pri obradi podataka.
- Vršenje nadzora nad upravljanjem rizicima pri obradi podataka u okviru njihovih funkcionalnih oblasti.
Vlasnik procesa je u interakciji sa Licem za zaštitu podataka (DPO) na sledeći način:
- Konsultacije sa DPO-om u slučaju novog proizvoda ili usluge, promene u tekućem procesu ili angažovanju spoljnih saradnika kada je u pitanju obrada podataka o ličnosti.
- Dobijanje podrške od DPO-a za izvršenje procedura za zaštitu podataka, po potrebi.
- Konsultovanje DPO-a u pogledu dostupne obuke i alata za podizanje svesti o zaštiti podataka.
- Hitno obaveštavanje DPO-a u slučaju bilo kog incidenta u pogledu bezbednosti podataka koji je poznat ili na koji se sumnja, ili povrede zaštite podataka.
6.3 Lice za zaštitu podataka (DPO) u aktivnostipružanja podrške zaštiti podataka čini sledeće:
- Pružanje podrške vlasnicima procesa pri sprovođenju Politike zaštite podataka o ličnosti (npr. vođenje evidencija i procena rizika), uključujući omogućavanje obuke o zaštiti podataka, alat za podizanje svesti i najbolje prakse.
- Redovno davanje saveta predmetnim vlasnicima procesa u pogledu rizika pri obradi podataka i pitanja radi obezbeđivanja usklađenosti.
- Koordinacija zahteva u pogledu zaštite podataka i odgovaranje na žalbe lica čiji se podaci obrađuju.
- Učestvovanje u zvaničnim službenim istragama ili ispitivanjima u pogledu obrade podataka o ličnosti od strane državnih organa.
- Učestvovanje u odzivu i rešavanju bilo kog incidenta u pogledu bezbednosti informacija koji je poznat ili na koji se sumnja, ili povrede zaštite podataka, odnosno povrede privatnosti.
- Izveštavanje menadžmenta i vlasnika procesa u pogledu eventualnih rizika vezanih za zaštitu podataka i otvorenim pitanjima u vezi sa tim.
7. Ostale informacije
Za dodatne informacije u pogledu zaštite podataka u Eki Transfers, možete kontaktirati:
zaštitapodataka@ekitransfers.rs
Ova Politika će biti dostupna na Eki Transfers oglasnoj tabli i biće dostupna u razumnoj meri i na internom i eksternom nivou.
Lice za zaštitu podataka (DPO) podataka preispitaće Politiku bar jednom godišnje i predložiti bilo kakve neophodne revizije.