Uslovi zaštite ličnih podataka

Na osnovu Uredbe (EU) 2016/679 Evropskog parlamenta i Vijeća od 27. aprila 2016. o zaštiti pojedinaca u pogledu obrade ličnih podataka i o slobodnom kretanju takvih podataka (Opšta uredba o zaštiti podataka, u daljem tekstu: GDPR) i Zakona o zaštiti ličnih podataka (Službeni glasnik RS, u daljem tekstu: ZVOP-2) direktor kompanije BTS COMPANY, d.o.o. donosi ovaj pravilnik.

I. Opšte odredbe

1. 1. ČLAN

Ovim pravilnikom se određuju organizacioni, tehnički i logično-tehnički postupci i mere za zaštitu ličnih podataka u kompaniji BTS COMPANY, d.o.o. sa ciljem da se obezbedi da:

• lični podaci budu obrađivani na zakonit, fer i transparentan način;
• lični podaci budu prikupljeni za određene, izričite i zakonite svrhe, i da se ne obrađuju na način koji nije u skladu sa tim svrhama;
• podrazumevano se obrađuju samo lični podaci koji su potrebni za svrhu obrade; ovo obavezuje količinu prikupljenih ličnih podataka, obim njihove obrade, period čuvanja i dostupnost;
• se poštuju i štite prava i slobode pojedinaca na koje se odnose lični podaci;
• se obezbedi bezbednost ličnih podataka, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništavanja ili oštećenja;
• kompanija može dokazati usaglašenost sa zakonodavstvom o zaštiti ličnih podataka.

Odredbama ovog pravilnika određuju se i obaveze zaposlenih u kompaniji BTS COMPANY, d.o.o., koje oni moraju poštovati.

Odredbe ovog pravilnika važe i za druge osobe koje u kompaniji obavljaju posao na osnovu ugovora, a koji nisu ugovori o zaposlenju.

U slučaju sumnje u značenje bilo koje odredbe ovog dokumenta, obratite se na info@bts-company.com.
 

1. 2. ČLAN

U ovom pravilniku upotrebljeni izrazi imaju sledeće značenje:

1. Lični podatak – značenje jednako onom koje definiše GDPR.

2. Individua – je određena ili odrediva fizička osoba na koju se lični podatak odnosi; fizička osoba je odrediva ukoliko se može izravno ili neizravno identifikovati, posebno putem identifikacionog broja ili putem jednog ili više faktora koji su karakteristični za njen identitet fizičke, fiziološke, mentalne, ekonomske, kulturne ili društvene prirode, pri čemu način identifikacije ne prouzrokuje velike troškove ili ne zahteva mnogo vremena.

3. Zbirka ličnih podataka – značenje jednako onom koje definiše GDPR.

4. Obrada ličnih podataka – značenje jednako onom koje definiše GDPR.

6. Osetljivi lični podaci – značenje jednako onom koje definiše GDPR.

1. 3. ČLAN

Kompanija vodi i održava evidenciju aktivnosti obrade ličnih podataka sa propisanim elementima, u skladu sa odredbom člana 30. GDPR, i to za svaku zbirku posebno.

Evidencija aktivnosti obrade vodi se u elektronskom obliku, pristup je moguć na info@bts-company.com.

Za vođenje evidencije aktivnosti obrade nadležan je svaki šef odeljenja, u okviru kojeg se vodi pojedinačna zbirka, dok nadzor sprovodi direktor.
 

1. 4. ČLAN

U kompaniji ili za potrebe kompanije (uz pomoć obrađivača) smeju se obrađivati samo lični podaci za koje postoji adekvatna pravna osnova prema odredbama GDPR-a ili drugih propisa. Ukoliko pravna osnova za obradu ne postoji, lični podaci moraju odmah prestati sa aktivnom obradom i sprečiti pristup istim, uz obaveštenje direktora kompanije o nepostojanju osnove, koji dalje određuje postupanje sa takvim podacima.

Lični podaci smeju se prikupljati samo za određene i zakonite svrhe, i ne smeju se dalje obrađivati na način koji nije u skladu sa tim svrhama, osim ukoliko zakon ne propisuje drugačije. U slučaju da kompanija namerava dalje obrađivati lične podatke za svrhu koja nije svrha za koju su lični podaci prikupljeni, neophodno je prethodno proveriti da li je nova svrha kompatibilna sa prvobitnom i sastaviti o tome pismeni izveštaj.

Mere za obezbeđenje bezbednosti konkretnih (zbirki) ličnih podataka, kao što su na primer pesudonimizacija i enkripcija, ograničenje vremena čuvanja i pristupa, ograničenje obrade, ograničenje svrhe itd., kao i način sprovođenja određuje BTS COMPANY, d.o.o..

Posebne vrste ličnih podataka smeju se obrađivati samo u skladu sa odredbama GDPR-a i drugih propisa. Prilikom obrade, ti podaci moraju biti posebno označeni i zaštićeni na način koji neovlašćenim osobama onemogućava pristup.

Pojedinac mora biti obavešten o obradi ličnih podataka u skladu sa odredbama 12., 13. i 14. člana GDPR-a. Za sprovođenje obaveštenja nadležan je svaki šef odeljenja, u okviru kojeg se vodi pojedinačna zbirka.

Svaki šef odeljenka, u okviru kojeg se vodi pojedinačna zbirka, dužan je (za svaku pojedinačnu zbirku) da odredi i vodi pisani spisak osoba koje mogu, zbog prirode svog posla i/ili funkcije u kompaniji, obrađivati određene lične podatke ili imati pristup zbirkama (u daljem tekstu "ovlašćeni obrađivači"). Šefovi odeljenja su dužni pisane spiskove ovlašćenih obrađivača dostaviti direktoru kompanije.

Ovlašćeni obrađivači moraju biti upoznati sa odredbama GDPR-a i sadržajem ovog pravilnika pre obrade ličnih podataka, o čemu su dužni potpisati posebnu izjavu.

1. 5. ČLAN

Pojedinac ima pravo da od kompanije dobije potvrdu o tome da li se obrađuju njegovi lični podaci, i ako se obrađuju, pravo na pristup ličnim podacima (uvid) i informacije iz 1. stavke 15. člana GDPR-a.

Pojedinac ima pravo da traži da kompanija bez nepotrebnog odlaganja ispravi netačne ili dopuni nepotpune lične podatke u vezi sa njim.

Pojedinac ima pravo da traži da kompanija bez nepotrebnog odugovlačenja izbriše lične podatke u vezi sa njim, kada važi jedan od sledećih razloga:

• lični podaci nisu više potrebni za svrhe za koje su prikupljeni ili na neki drugi način obrađivani;
• pojedinac povuče pristanak, na osnovu kojeg se vrši obrada i za obradu ne postoji druga pravna osnova;
• pojedinac se protivi obradi, a ne postoji ni jedan imperativan legitimni razlog za obradu;
• lični podaci su nezakonito obrađeni;
• lične podatke treba obrisati radi poštovanja pravne obaveze u cilju ispunjenja zakonskih obaveza;
• lični podaci su prikupljeni u vezi sa ponudom usluga informacionog društva od maloletne osobe.

Pojedinac ima pravo da zahteva da se obrada ograniči, kada važi jedan od sledećih primera:

• pojedinac osporava tačnost podataka, i to za period koji omogućava kompaniji da proveri tačnost ličnih podataka;
• obrada je nezakonita i pojedinac se protivi brisanju ličnih podataka, već zahteva ograničenje njihove upotrebe;
• kompanija ne treba više lične podatke za svrhe obrade, već ih pojedinac zahteva za ostvarivanje, izvršavanje ili odbranu pravnih zahteva;
• pojedinac je prigovorio u vezi sa obradom, dok se ne proveri da li legitimni razlozi kontrolora prevazilaze razloge pojedinca na koje se odnose lični podaci.

Pojedinac ima pravo da primi lične podatke koje je pružio kompaniji, u strukturiranom, opšte prihvaćenom i mašinski čitljivom formatu, i pravo da te podatke prenese drugom kontroloru, bez ometanja od strane kompanije, kada:

• obrada se zasniva na pristanku i
• se obrada vrši automatizovanim sredstvima.

Dirакtor kompanije je dužan da se pobrine da pojedinci budu na odgovarajući način, u skladu sa zahtevima GDPR-a, informisani o pravima iz prethodnih pasusa ovog člana. Direktor takođe osigurava jedinstvenu kontakt tačku, na koju pojedinci mogu da se obrate kako bi ostvarili svoja prava.

Za ostvarivanje prava pojedinaca i za komunikaciju sa njima zadužen je šef odeljenka, u okviru kojeg se vodi zbirka, u kojoj su lični podaci pojedinca. U slučaju da se lični podaci pojedinca nalaze u više zbirki, direktor kompanije određuje nadležnog šefa odeljenka.
 

1. 6. ČLAN

Šef odeljenka ili druga osoba zadužena za to, dužna je da obavesti direktora o tome da bi planirana obrada ličnih podataka, posebno (ali ne isključivo) korišćenjem novih tehnologija, imajući u vidu prirodu, obim, okolnosti i svrhe obrade ličnih podataka, mogla predstavljati veliki rizik po prava i slobode pojedinaca.

U tom slučaju direktor odlučuje da li je potrebno sprovesti procenu uticaja predviđenih postupaka obrade na zaštitu ličnih podataka. Za samu sprovođenje procene uticaja nadležan je šef odeljenka ili druga od direktora ovlašćena osoba. Svi zaposleni koji mogu obezbediti neophodne podatke i ocene dužni su da učestvuju.

Procena uticaja izvodi se u pisanom obliku i obuhvata:

• sistematski opis predviđenih postupaka obrade i svrha obrade, kada je relevantno, kao i legitimne interese koje kompanija želi postići;
• procenu neophodnosti i proporcionalnosti postupaka obrade