ПОЛИТИКА ОПШТЕ РЕГУЛАТИВЕ О ПОДАЦИМА О ЛИЧНОСТИ (GDPR)
1. Izjava o politici
Svaki dan naša kompanija će primati, koristiti i čuvati lične informacije o našim kupcima, dobavljačima, kandidatima za intervju i kolegama. Važno je da se ove informacije obrađuju zakonito i odgovarajuće u skladu sa zahtevima [Zakona o zaštiti podataka 2018] i Opšte uredbe o zaštiti podataka (zajednički nazvani kao 'Zahtevi za zaštitu podataka').
Ozbiljno shvatamo naše dužnosti zaštite podataka, jer poštujemo poverenje koje nam je ukazano da koristimo lične informacije na odgovarajući i odgovoran način.
2. O ovoj Politici
Ova politika, kao i svi drugi dokumenti na koje se poziva, utvrđuje osnovu prema kojoj ćemo obrađivati sve lične podatke koje prikupimo ili obradimo.
Ova politika ne čini deo ugovora o zaposlenju i može biti izmenjena u bilo koje vreme.
Aleks Smit je naš službenik za zaštitu podataka (DPO), i odgovoran je za osiguravanje usklađenosti kompanije sa Zahtevima za zaštitu podataka i sa ovom politikom. Sva pitanja o primeni ove politike ili bilo kakve zabrinutosti da politika nije poštovana, treba uputiti prvo DPO-u, ili prijaviti u skladu sa našom politikom žalbi kompanije (videti Priručnik za zaposlene).
3. Šta su lični podaci?
Lični podaci su podaci (bilo da su sačuvani elektronski ili na papiru) koji se odnose na živu osobu koja može biti identifikovana direktno ili indirektno iz tih podataka (ili iz tih podataka i drugih informacija u našem posedu).
Obrada je bilo koja aktivnost koja uključuje upotrebu ličnih podataka. To uključuje prikupljanje, beleženje ili čuvanje podataka, organizovanje, izmenu, povlačenje, korišćenje, otkrivanje, brisanje ili uništavanje. Obrada takođe uključuje prenos ličnih podataka trećim licima.
Osetljivi lični podaci uključuju lične podatke o rasnom ili etničkom poreklu osobe, političkim mišljenjima, verskim ili filozofskim uverenjima, članstvu u sindikatu, genetskim, biometrijskim, fizičkim ili mentalnim zdravstvenim stanjem, seksualnom opredeljenju ili seksualnim životom. Mogu sadržati i podatke o krivičnim delima ili osuđivanjima. Osetljivi lični podaci mogu se obrađivati samo pod strogim uslovima, uključujući pristanak pojedinca.
4. Principi zaštite podataka
Svako ko obrađuje lične podatke mora se pobrinuti da podaci budu:
a. Obraditi na pravičan, zakonit i transparentan način.
b. Prikupljeni u određenu, eksplicitnu i legitimnu svrhu, pri čemu se svaka dalja obrada obavlja u skladu sa kompatibilnom svrhom.
c. Adekvatni, relevantni i ograničeni na ono što je potrebno za nameravane svrhe.
d. Tačni, i gde je potrebno, ažurirani.
e. Čuvani u obliku koji omogućava identifikaciju ne duže nego što je potrebno za nameravane svrhe.
f. Obraditi u skladu sa pravima pojedinca i na način koji obezbeđuje odgovarajuću bezbednost ličnih podataka, uključujući zaštitu od neovlašćene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja, koristeći odgovarajuće tehničke ili organizacione mere.
g. Ne prenose se ljudima ili organizacijama smeštenim u zemljama bez adekvatne zaštite i bez prethodnog obaveštavanja pojedinca.
5. Pravična i zakonita obrada
Zahtevi za zaštitu podataka nisu namenjeni sprečavanju obrade ličnih podataka, već osiguravanju da se to obavlja pravično i bez štetnog uticaja na prava pojedinca.
U skladu sa Zahtevima za zaštitu podataka, obrađivaćemo samo lične podatke kada je to potrebno u zakonite svrhe. Zakonite svrhe uključuju (između ostalog): da li je pojedinac dao svoj pristanak, obrada je neophodna za izvršenje ugovora sa pojedincem, radi ispunjavanja pravne obaveze, ili radi legitimnog interesa poslovanja. Kada se obradjuju osetljivi lični podaci, moraju se ispuniti dodatni uslovi.
6. Obrada za ograničene svrhe
U toku našeg poslovanja, možemo prikupljati i obradjivati lične podatke. To može uključivati podatke koje primamo direktno od lica podataka (na primer, popunjavanjem formulara ili dopisivanjem sa nama putem pošte, telefona, e-pošte ili na drugi način) i podatke koje primamo od drugih izvora (uključujući, na primer, lokacijske podatke, poslovne partnere, podizvođače u tehničkim, platnim i dostavnim uslugama, agencije za kreditne reference i druge).
Obrada ličnih podataka vršiće se samo za konkretne svrhe navedene u Dodatku 1 ili za bilo koje druge svrhe posebno dozvoljene Zahtevima za zaštitu podataka. Te svrhe obavestićemo lice podataka kada prvi put prikupimo podatke ili što je pre moguće nakon toga.
7. Obaveštavanje pojedinaca
Ukoliko prikupimo lične podatke direktno od pojedinca, informisaćemo ih o:
a. Svrha ili svrhe za koje nameravamo da obradimo te lične podatke, kao i pravni osnov za obradu.
b. Gde se oslanjamo na legitimne interese poslovanja za obradu ličnih podataka, koje legitimne interese pratimo.
c. Vrste trećih strana, ukoliko ih ima, sa kojima ćemo podeliti ili otkriti te lične podatke.
d. Kako pojedinci mogu ograničiti našu upotrebu i otkrivanje njihovih ličnih podataka.
e. Informacije o periodu tokom kojeg će se njihove informacije čuvati, ili kriterijumi korišćeni za određivanje tog perioda.
f. Njihovo pravo da od nas kao kontrolora zahtevaju pristup i ispravku ili brisanje ličnih podataka ili ograničenje obrade.
g. Njihovo pravo da se usprotive obradi i njihovo pravo na prenosivost podataka.
h. Njihovo pravo da povuku svoj pristanak u bilo koje vreme (ukoliko je pristanak dat) bez uticaja na zakonitost obrade pre povlačenja pristanka.
i. Pravo da podnesu žalbu Kancelariji Poverenika za informacije.
j. Ostali izvori odakle potiču lični podaci o pojedincu i da li su poticali iz javno dostupnih izvora.
k. Da li pružanje ličnih podataka predstavlja zakonsku ili ugovornu obavezu, ili zahtev neophodan za zaključenje ugovora, kao i da li je pojedinac obavezan da pruži lične podatke i eventualne posledice nedostavljanja podataka.
Ako primimo lične podatke o pojedincu iz drugih izvora, obavestićemo ih o tim informacijama što je pre moguće (osim informisanja ih o kategorijama ličnih podataka o kojima se radi), ali najkasnije u roku od 1 meseca.
Takođe ćemo obavestiti lica čiji lični podaci obrađujemo da smo kontrolor podataka u vezi sa tim podacima, naše kontakt informacije i ko je DPO.
8. Adekvatna, Relevantna i Ne-prekomerna Obrada
9. Tačni Podaci
10. Pravovremena Obrada
Nećemo čuvati lične podatke duže nego što je neophodno za svrhu ili svrhe za koje su prikupljeni. Preduzećemo sve razumne korake da uništimo ili izbrišemo iz naših sistema sve podatke koji više nisu potrebni.
11. Obrada u skladu sa pravima lica podataka
Obradićemo sve lične podatke u skladu sa pravima lica podataka, posebno njihovo pravo na:
a. Potvrdu da li se lični podaci u vezi sa pojedincem obrađuju.
b. Traženje pristupa svim podacima koje o njima čuva kontrolor podataka.
c. Traženje ispravke, brisanja ili ograničenja obrade njihovih ličnih podataka.
d. Podnošenje žalbe nadzornom telu.
e. Prigovor na obradu uključujući i direktni marketing.
12. Bezbednost podataka
Preduzećemo odgovarajuće bezbednosne mere protiv nezakonite ili neovlaštene obrade ličnih podataka, i protiv slučajnog ili nezakonitog uništavanja, oštećenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa ličnim podacima koji se prenose, čuvaju ili na drugi način obrađuju. Ukoliko dođe do nezakonitog prenosa podataka, to će biti istraženo od strane odgovornog službenika i primeniće se disciplinske procedure kompanije.
Uspostavićemo procedure i tehnologije za održavanje bezbednosti svih ličnih podataka od trenutka određivanja sredstava za obradu i tačke prikupljanja podataka do tačke uništenja. Lični podaci će biti preneti samo obrađivaču podataka ako pristane da se pridržava tih procedura i politika, ili ako sam preduzme adekvatne mere.
Održavaćemo bezbednost podataka štiteći poverljivost, integritet i dostupnost ličnih podataka, definisane na sledeći način:
a. Poverljivost znači da samo osobe ovlaštene za korišćenje podataka mogu da im pristupe.
b. Integritet znači da lični podaci treba da budu tačni i odgovarajući za svrhu za koju se obrađuju.
c. Dostupnost znači da ovlašćeni korisnici treba da mogu pristupiti podacima ako im je potrebno za ovlaštene svrhe. Lični podaci stoga treba da budu smešteni na centralnom računarskom sistemu naše kompanije umesto na pojedinačnim računarima.
Postupci zaštite uključuju:
a. Kontrole ulaska. Sve strance viđene na područjima pod kontrolom ulaska treba prijaviti.
b. Bezbedne zaključane radne stolove i ormane. Radni stolovi i ormani treba da budu zaključani ako sadrže bilo kakve poverljive informacije. (Lične informacije uvek se smatraju poverljivim.)
c. Minimizacija podataka.
d. Metode uništavanja. Papirni dokumenti treba da budu uništeni. Digitalni uređaji za skladištenje treba fizički uništiti kada više nisu potrebni.
e. Oprema. Zaposleni moraju obezbediti da pojedinačni monitori ne prikazuju poverljive informacije prolaznicima i da se odjave sa svog računara kada ga napuste.
13. Zahtevi za pristup subjekata
Pojedinci moraju podneti formalni zahtev za informacije koje imamo o njima. Zaposleni koji prime zahtev treba odmah proslediti DPO-u ili članu kadrovskog odeljenja.
Kada primamo telefonske upite, otkrićemo samo lične podatke koje imamo u našem sistemu ako su ispunjeni sledeći uslovi:
a. Proverićemo identitet pozivaoca kako bismo bili sigurni da informacije dobija samo osoba koja ima pravo na njih.
b. Predložićemo pozivaocu da svoj zahtev dostavi pismeno ako nismo sigurni u identitet pozivaoca i gde identitet nije moguće proveriti.
Gde se zahtev podnosi elektronski, podaci će biti dostavljeni elektronski ako je moguće.
Naši zaposleni će uputiti zahtev svom nadređenom menadžeru za pomoć u teškim situacijama.
14. Izmena ove politike
Zadržavamo pravo da u bilo koje vreme promenimo ovu politiku. Gde je to prikladno, obavestićemo o promenama putem banera na veb sajtu.