Privacy Policy
MAGNUS RENT A CAR DOO BEOGRAD (RAKOVICA)
Politika zaštite podataka
Uvod
Svrha ovog dokumenta je da utvrdi i opiše politiku zaštite podataka, pravila i procedure kompanije MAGNUS RENT A CAR DOO BEOGRAD (RAKOVICA) (u daljem tekstu: Kompanija), u skladu sa Opštom uredbom o zaštiti podataka (u daljem tekstu: GDPR), srpskim Zakonom o zaštiti podataka i drugim propisima o zaštiti podataka koji su primenljivi na Kompaniju.
Termini i definicije sadržani u ovom dokumentu odgovaraju onima sadržanim u GDPR-u i/ili zakonima o zaštiti podataka koji su primenljivi na Kompaniju.
Izjava o politici
Menadžment Kompanije je posvećen poštovanju svih relevantnih važećih zakona u vezi sa ličnim podacima i zaštiti prava i sloboda pojedinaca čije podatke Kompanija prikuplja i obrađuje.
Ova politika se primenjuje na sve funkcije obrade ličnih podataka Kompanije.
Ova politika se odnosi na sve zaposlene i osoblje Kompanije. Svako kršenje ove Politike ili zakona i propisa o zaštiti podataka biće tretirano u skladu sa internim disciplinskim i drugim procedurama u vezi sa Zakonom o radu, kao i svim drugim važećim zakonima.
Od partnera i bilo koje treće strane koje rade sa ili za Kompaniju, a koje imaju ili mogu imati pristup ličnim podacima, očekuje se da poštuju važeće zakone i propise o zaštiti podataka. Nijedna treća strana ne može pristupiti ličnim podacima koje poseduje Kompanija, a da prethodno nije sklopila ugovor o poverljivosti podataka, koji trećoj strani nameće obaveze koje nisu manje teške od onih kojima se Kompanija obavezala, i koji Kompaniji daje pravo na reviziju usklađenosti sa ugovorom.
Kompanija se obavezuje da će se pridržavati svih principa zaštite podataka utvrđenih GDPR-om, smernicama i mišljenjima Radne grupe Član 29 i Evropskog odbora za zaštitu podataka, kao i svim drugim relevantnim smernicama i mišljenjima nadležnih organa i institucija koja su relevantna za njene aktivnosti obrade ličnih podataka koja mogu biti izdata s vremena na vreme.
Obaveze Kompanije
Lični podaci koje obrađuje Kompanija u svojstvu rukovaoca
Kompanija obrađuje u svojstvu rukovaoca lične podatke svojih zaposlenih, osoblja, zaposlenih i osoblja poslovnih partnera, kao i lične podatke svojih klijenata.
Zaposleni i osoblje Kompanije odgovorni su da obezbede da svi lični podaci o njima i koje su dostavili Kompaniji budu tačni i ažurni.
Ako Kompanija u bilo kom trenutku dođe u situaciju ili u potrebi da obradi lične podatke bilo koje druge kategorije subjekata podataka, pored onih navedenih u prethodnoj tački, učiniće to u skladu sa važećim zakonima, uključujući GDPR, bez potrebe za izmenama ove politike. Međutim, ako takva obrada postane sistematska obrada i/ili obrada uključena u svakodnevno poslovanje Kompanije, ova politika će se u skladu sa tim izmeniti.
Detaljan opis kategorija subjekata podataka i kategorija ličnih podataka dat je u evidenciji o obradi Kompanije, a oni uključuju, kada su u pitanju klijenti Kompanije, ime i prezime, adresu prebivališta, JMBG/broj pasoša i broj vozačke dozvole.
Pravni osnov za obradu podataka
Kompanija identifikuje pravni osnov za obradu ličnih podataka pre nego što se izvrši bilo kakva operacija obrade tako što jasno utvrđuje, definiše i dokumentuje specifičnu svrhu obrade ličnih podataka i odgovarajući pravni osnov za obradu podataka.
Ako se lični podaci obrađuju na osnovu pristanka subjekta podataka, oblik i sadržaj takve saglasnosti će biti u skladu sa svim primenljivim zakonskim zahtevima i najboljom industrijskom praksom. Ako je saglasnost potrebna za određene aktivnosti obrade u kontekstu ugovornog odnosa sa zaposlenim, angažovanim osobljem, klijentom ili drugim ugovornim partnerom, takva saglasnost može biti data kao deo ugovorne dokumentacije ili kao deo konkretnog ugovora, ali uvek na jasno prepoznatljiv i nedvosmislen način. Radi izbegavanja svake sumnje, ako je saglasnost data na takav način, nosilac podataka će je slobodno opozvati u bilo kom trenutku, bez obzira na važnost samog ugovora.
Ako Kompanija odluči da obrađuje određene lične podatke na osnovu sopstvenog legitimnog interesa, ona će pažljivo i marljivo preduzeti potrebne testove balansiranja kako bi utvrdila odgovarajuće interese ili osnovna prava i slobode dotičnih subjekata podataka, u skladu sa važećim zakonima i najboljom praksom u industriji.
Lični podaci koji se odnose na zaposlene i angažovano osoblje obrađuju se isključivo u svrhe zapošljavanja i obavljanja ugovorenih aktivnosti koje proizilaze iz angažovanja angažovanog osoblja. Ukoliko Kompanija u bilo kom trenutku dođe u situaciju ili u potrebi da obrađuje lične podatke zaposlenih i angažovanog osoblja u bilo kom drugom kontekstu i za bilo koju drugu svrhu, učiniće to u skladu sa obaveznim zakonskim zahtevima bez potrebe za izmenom ove politike.
Lični podaci prikupljeni u kontekstu odnosa Kompanije sa svojim klijentima obrađuju se u svrhe optimalnog ispunjavanja ugovora sklopljenih sa klijentom, izvršenja ugovora zaključenog sa licem na koje se podaci odnose i u cilju poštovanja pravnih obaveza Kompanije kao rukovaoca.
Lični podaci bivših klijenata će se obrađivati tokom određenog perioda čuvanja nakon pružanja usluga, jer Kompanija ima legitiman interes i zakonske obaveze da čuva njihove lične podatke, podložno odgovarajućim tehničkim i organizacionim merama, kako bi ih identifikovala u slučaju bilo kakvog pravnog postupka koji može biti pokrenut u definisanom roku čuvanja.
Lični podaci bivših klijenata takođe se mogu koristiti uz njihovu valjanu saglasnost u svrhu dalje komunikacije sa klijentom, uključujući u svrhe promocije i marketinga, pružanja prilagođenog iskustva klijenta ili u druge svrhe na koje su klijenti izričito pristali.
Ako Kompanija obrađuje posebne kategorije ličnih podataka, to će učiniti samo ako se može osloniti na jedan od pravnih osnova koji se primenjuju na takvu obradu u skladu sa obaveznim zakonima o zaštiti podataka.
Odgovarajući pravni osnov za svaku aktivnost obrade kompanije utvrđuje se u evidenciji obrade.
Kompanija je posvećena određivanju perioda čuvanja podataka koji striktno zavise od konkretnih svrha obrade, i periodično će preispitati da li su utvrđeni periodi čuvanja neophodni i optimalni. Kriterijumi koji se koriste za određivanje perioda zadržavanja uključuju:
• Da li je nosilac podataka dao saglasnost za obradu podataka i koliko vremena Kompanija ima trajnu vezu sa subjektom podataka (u principu, takvi podaci će se obrađivati dok se saglasnost ne povuče, ili kada je odnos sa subjektom podataka prekinut na duži vremenski period),
• Da li postoji zakonska obaveza kojoj Kompanija podleže (na primer Zakon o turizmu),
• Da li je zadržavanje preporučljivo s obzirom na pravni položaj Kompanije (kao što je zastarelost, sudski spor ili regulatorne istrage).
Zadržavanje u vezi sa aktivnostima obrade koje se zasnivaju na legitimnom interesu se određuju uzimajući u obzir minimalno vreme potrebno da se taj legitimni interes zadovolji.
Detalji o svrsi obrade i periodima čuvanja podataka dati su u evidenciji o obradi Kompanije.
Ugovori o obradi
Ugovori Kompanije sa njenim obrađivačima će sadržati sve relevantne i potrebne klauzule o zaštiti ličnih podataka u skladu sa GDPR-om ili drugim važećim zakonima.
Prenosi podataka
Prenosi podataka će se vršiti samo pod uslovom da budu ispunjeni uslovi koji su propisani obaveznim zakonima i propisima o zaštiti podataka, uključujući Poglavlje 5 GDPR-a.
Kompanija trenutno ne vrši transfer podataka o ličnosti svojih klijenata nijednom trećem licu, izuzev nadležnim organima prema kojima ima propisane zakonske obaveze.
Evidencija aktivnosti obrade
U cilju dobre prakse zaštite ličnih podataka i u skladu sa važećim propisima, Kompanija vodi evidenciju o aktivnostima obrade koje preduzima u svojstvu rukovaoca.
Organizacione mere
Mere ograničenog pristupa
Pristup sistemima Kompanije i svim ličnim podacima ograničen je samo na potrebne zaposlene Kompanije za obavljanje svojih zadataka i obaveza.
Pristup informacionim sistemima je regulisan u skladu sa unapred definisanim pravilima. Ova pravila uzimaju u obzir konkretan položaj svakog zaposlenog.
Svaka od ovih pozicija može imati jedno, nekoliko ili sva sledeća ovlašćenja: Čitanje/pisanje, Čitanje/pisanje/brisanje, Samo čitanje.
Nivoe ovlašćenja koji se primenjuju na svaku poziciju reguliše generalni direktor Kompanije i samo generalni direktor može dozvoliti izuzetke od ovih unapred definisanih pravila.
Poverljivost
Kompanija ima praksu potpisivanja ugovora o poverljivosti sa svim svojim zaposlenima, angažovanim osobljem ili partnerima koji imaju pristup ličnim podacima koje obrađuje.
Podizanje svesti i interni treninzi
Menadžment Kompanije posvećen je stalnom podizanju svesti u Kompaniji o važnosti i važnosti pažljivog, zakonitog i pravilnog rukovanja ličnim podacima. Svi novozaposleni ili članovi osoblja biće upoznati sa ovom politikom, svim drugim relevantnim internim dokumentima i procedurama, i po potrebi obučeni da postupaju u skladu sa njima.
Disciplinske posledice
Svi zaposleni ili članovi osoblja Kompanije će se smatrati odgovornim za svoja dela i propuste u vezi sa neodgovarajućim rukovanjem ličnim podacima i snosiće srazmerne disciplinske i/ili druge posledice, uključujući raskid ugovora o radu ili saradnji.
Tehničke mere
Kompanija je posvećena preduzimanju svih potrebnih i relevantnih tehničkih mera u cilju optimalne zaštite podataka o ličnosti, u odnosu na sve kategorije podataka koji su pod njenom kontrolom ili dometom.
Ove mere uključuju sledeće:
Kontrola pristupa – mere za sprečavanje neovlašćenih lica da dobiju pristup objektima u kojima se obrađuju ili koriste lični podaci (sistem kontrole pristupa i alarmni sistem senzora za upad).
Kontrola pristupa podacima – mere koje obezbeđuju da lica ovlašćena da koriste sistem za obradu podataka imaju pristup samo onim podacima za koje imaju ovlašćenje da pristupe, i da se lični podaci ne mogu čitati, kopirati, menjati ili uklanjati bez ovlašćenja tokom obrade, korišćenja ili nakon snimanja (dodela ovlašćenja prema unapred definisanim ulogama i profilima u evidenciji pristupa).
Kontrola dostupnosti – mere koje osiguravaju da su lični podaci zaštićeni od slučajnog uništenja ili gubitka (zaštita od požara).
Postupak u slučaju povrede podataka
Generalni direktor Kompanije određuje da li nadzorni organ treba da bude obavešten u slučaju kršenja.
Kompanija procenjuje da li će povreda ličnih podataka verovatno dovesti do rizika po prava i slobode subjekata podataka koji su pogođeni povredom ličnih podataka od slučaja do slučaja.
Ukoliko postoji rizik za subjekte podataka, Kompanija bez nepotrebnog odlaganja, a najkasnije u roku od 72 sata, prijavljuje povredu ličnih podataka nadležnom nadzornom organu.
Ukoliko nije moguće obezbediti sve potrebne informacije u isto vreme, Kompanija će ih obezbediti u fazama bez nepotrebnog daljeg odlaganja.
Sledeće informacije će biti dostavljene nadzornom organu:
• Opis prirode kršenja.
• Kategorije ličnih podataka na koje utiče.
• Približan broj subjekata podataka na koje utiče.
• Približan broj zapisa o ličnim podacima koji su pogođeni.
• Ime i kontakt podaci kontakt osobe za zaštitu podataka.
• Posledice kršenja.
• Sve mere preduzete za rešavanje kršenja.
• Sve druge relevantne informacije u vezi sa povredom podataka.
Svi ugovori sa obrađivačima će imati relevantne odredbe koje regulišu obaveze i dužnosti strana u slučaju kršenja.
Ako postoji verovatnoća da će povreda ličnih podataka dovesti do visokog rizika po prava i slobode lica na koje se podaci odnose, Kompanija obaveštava subjekte na koje se podaci odnose.
Obaveštenje subjektu podataka opisuje kršenje na jasan i jednostavan jezik, pored informacija navedenih iznad.
Kompanija preduzima naknadne mere kako bi osigurala da više neće doći do bilo kakvih rizika po prava i slobode subjekata podataka.
Ako povreda utiče na veliki broj subjekata podataka i evidenciju ličnih podataka, Kompanija donosi odluku na osnovu procene količine napora uloženog u obaveštavanje svakog subjekta podataka pojedinačno, i da li će to ometati sposobnost Kompanije da na odgovarajući način dostavi obaveštenje u određenom vremenskom roku. U takvom scenariju javna komunikacija ili slična mera informiše one koji su pogođeni na podjednako efikasan način.
Kompanija dokumentuje svaku povredu(e) ličnih podataka, uključujući činjenice koje se odnose na povredu ličnih podataka, njene efekte i preduzete korektivne mere.
Procedure za prava subjekta podataka
Subjekti podataka imaju pravo da podnesu/podnesu:
Zahtev za dobijanje potvrde da li Kompanija obrađuje lične podatke o tom licu;
Zahtev za pristup njihovim ličnim podacima;
Zahtev za ispravku njihovih podataka;
Zahtev za brisanje njihovih podataka;
Pravo da se njihovi podaci prenesu u strukturiranom i mašinski čitljivom formatu;
Zahtev za ograničavanje i/ili prigovor na obradu.
Procedura za sprovođenje prava subjekta podataka biće sledeća:
Obrazac zahteva za ostvarivanje prava nosioca podataka biće dostupan po zahtevu klijenta.
Svi zahtevi na koje se podaci odnose koji nisu poslati direktno licu za kontakt biće prosleđeni licu za kontakt.
Kontakt osoba proverava i potvrđuje identitet subjekta podataka u skladu sa podacima iz zahteva i podacima koje poseduje Kompanija. Ako je potrebno, osoba za kontakt može zatražiti dodatne informacije od subjekta podataka.
Kontakt osoba beleži datum kada su provere identifikacije sprovedene i specifikaciju traženih podataka.
U svakom slučaju, na zahtev se mora odgovoriti u roku od mesec dana od evidentiranog datuma iz prethodne tačke, osim ako se ne primenjuje duži rok u skladu sa obaveznim zakonskim propisima.
Kontakt osoba vodi evidenciju o svim zahtevima na koje se podaci odnose i o odgovarajućim odlukama Kompanije.
Svi zahtevi nosioca podataka biće obrađeni i na njih će se odgovoriti u elektronskoj formi, osim ako subjekt podataka ne zahteva drugačije.
Ovu politiku izdaje generalni direktor Kompanije, koji će imati ovlašćenje da vrši izmene i dopune kada je to potrebno i prikladno.