INSTITUT ZA STANDARDE I TEHNOLOGIJE DOO BEOGRAD
Bulevar Mihajla Pupina 6, 11070 NOVI BEOGRAD
Data Protection Officer & Menadžer bezbednosti informacija:
E-mail: data.protection@istbeograd.com
Web site: www.instate.biz
Phones:
+381 63 77 09389
+381 64 11 689 15
Počevši od 25. maja 2018. godine, nova Opšta uredba o zaštiti podataka (General Data Protection Regulation – GDPR) stupila je na snagu u Evropskoj Uniji.
Ova uredba zamenjuje Personal Data Act i rezidentima EU daje mogućnost da sami opredele na koji način kompanije i organizacije mogu da raspolažu njihovim podacima i kako da se podaci o ličnosti upotrebljavaju prilikom pružanja raznih proizvoda i usluga.
Zakon o zaštiti podataka o ličnosti u Republici Srbiji (ZZPL) usaglašen je u određenoj meri sa GDPR uredbom i stupio je na snagu 21. novembra 2018 godine, a primenjuje se po isteku devet meseci od dana stupanja zakona na snagu, tj. od 21. avgusta 2019. godine.
IST će, pored usklađivanja sa domicilnim zakonima, i posebno ZZPL, nastojati da svoje poslovanje uskladi sa GDPR u najvećoj mogućoj meri i u skladu sa tim uskladi odnos prema podacima o ličnosti svih svojih korisnika, bez obzira da li su oni iz EU ili nisu, ukoliko to nije u suprotnosti sa domaćim propisima.
- Kako se ophodimo prema Vašim podacima o ličnosti
- Vaša prava u vezi sa Vašim podacima o ličnosti
- Vaše GDPR obaveze
KAKO SE OPHODIMO PREMA VAŠIM PODACIMA O LIČNOSTI
Vaši podaci o ličnosti su podaci koje prikupljamo i čuvamo o Vama i načinu na koji koristite naše usluge, a koji Vas direktno ili indirektno identifikuju. Ove podatke koristimo kako bismo Vam pružili bolje korisničko iskustvo, unapredili naše usluge ili Vam prikazali ponude koje odgovaraju Vašim potrebama.
Informacije koje možete naći ispod su sažetak načina na koji prikupljamo i upravljamo Vašim podacima, a u skladu sa ZZPL i sa uredbom General Data Protection Regulation (GDPR) Evropske unije.
Vrste podataka o ličnosti koje prikupljamo
Kontakt informacije
Kada postanete IST klijent, prikupljamo sledeće Vaše informacije: Ime i prezime, e-mail adresu, telefon.
Informacije o uslugama koje koristite
Takođe, čuvamo podatke o tome koje naše usluge ste naručili i koristite, kao i to kako ih koristite.
Korespondencija sa client services podrškom
Prikupljamo podatke koje nam pružate u korespodenciji sa našom client services podrškom, kako bismo mogli da Vam pomognemo u konkretnom slučaju.
Kako prikupljamo podatke o ličnosti
Prikupljamo i obrađujemo podatke koje:
- sami unesete kada postanete naš klijent.
- sami podelite sa nama kada kontaktirate našu client services podršku putem e-maila ili telefonom.
- sistemi kreiraju kada koristite naše usluge – na primer, kada posetite naš sajt i prijavite se u formi “contacting us”.
- dobijamo od drugih izvora – kao na primer od banke koja vrši obradu plaćanja.
Tačne vrste informacija koje prikupljamo o Vama zavise od vrste usluga koje koristite kod nas.
Kako koristimo podatke o ličnosti
Da bismo uopšte mogli da obrađujemo Vaše podatke, neki od navedenih zakonskih osnova mora biti ispunjen:
• Da su podaci neophodni za uspostavljanje ugovorne obaveze.
• Da su podaci neophodni kako bi IST ispunio zakonski propisane obaveze.
• Da je obrada podataka u interesu i Vas i IST.
• Da imamo Vašu saglasnost za konkretnu obradu datih podataka.
Kako bismo Vam pružili naše usluge, potrebno je da obradimo Vaše podatke. Ispod možete naći informacije o tome za šta sve koristimo Vaše podatke, kao i zakonsku osnovu po kojoj to radimo.
Pružanje usluga
Obrađujemo podatke o ličnosti kako bismo Vas identifikovali kao klijenta, te pripremili i isporučili usluge koje ste naručili ili na koje ste se pretplatili. Takođe, to radimo i kako bismo mogli da obrađujemo račune i plaćanja za usluge koje koristite.
Zakonski osnov: neophodno za ispunjenje ugovornih uslova.
Komunikacija i podrška
Moguće je da ćemo koristiti podatke o ličnosti iz prethodnih komunikacija sa Vama kako bismo Vam pružili adekvatniju pomoć i podršku.
Koristimo Vaše kontakt informacije i informacije o servisima i uslugama koje koristite kao osnovu za izdavanje računa, slanje obaveštenja o uslugama, slanje važnih informacija, kao i ponuda i saveta o korišćenju naših servisa.
Zakonski osnov: legitimni interes, saglasnost i neophodnost radi ispunjenja ugovorenih uslova korišćenja.
Razvoj naših usluga i proizvoda
Obrađujemo podatke na osnovu Vašeg korišćenja naših usluga, kao i na osnovu Vaše komunikacije sa nama kako bismo, na osnovu toga, unapredili usluge i proizvode.
Zakonski osnov: legitimni interes i saglasnost.
Marketing
Obrađujemo podatke o ličnosti o vrsti usluga i servisa koje koristite, kao i to kako ih koristite, kako bismo Vam ponudili relevantne proizvode, prema Vašim potrebama.
Zakonski osnov: legitimni interes i saglasnost.
Bezbednost i sprečavanje zloupotreba
Obrađujemo podatke o ličnosti kako bismo otkrili i sprečili sledeće akcije prema Vašim servisima, kao i našoj mreži:
- zloupotrebu
- pokušaje upada
- napade virusima ili DDOS napade
- kršenje zakona
- kršenje uslova korišćenja
Zakonski osnov: neophodno za ispunjenje ugovornih uslova, zakonske obaveze.
Regulatorne obaveze
Podatke o ličnosti obrađujemo i radi ispunjenja zakonskih obaveza.
Zakonski osnov: zakonska obaveza.
Koliko dugo čuvamo podatke o ličnosti
Podatke o ličnosti čuvamo onoliko dugo koliko traje dokumentovana svrha obrade podataka.
Kontaktirajte lice zaduženo za zaštitu podataka (DPO) i bezbednost informacija (BI) za više informacija na email:
data.protection@institutbi.info
Sa kim delimo podatke o ličnosti
Partneri, podizvođači i druge kompanije unutar mreže IST partnera
IST ima sporazume sa svojim direktnim partnerima, od kojih su najvažniji PECB Group Inc. i Loopia doo. Sporazumi regulišu koja vrsta ličnih podataka se obrađuje, osnov obrade podataka, kako se lični podaci štite i koliko dugo je moguća njihova obrada. Sporazumi takođe sadrže instrukcije rukovaoca prema onima koji podatke obrađuju o načinu na koji podaci smeju biti obrađivani.
Težimo da nikada ne delimo više od apsolutno neophodnih podataka sa svakim od partnera.
Primenjujemo odgovarajuće zaštitne mere kako bi se osiguralo da se sa Vašim ličnim podacima postupa u skladu sa važećim propisima u pogledu bezbednosti i privatnosti. Iste zahteve postavljamo i našim podizvođačima.
Za sledeće potrebe možemo podeliti određene podatke sa navedenim partnerima i podizvođačima.
Nadležni organi
Od nas se može zahtevati deljenje pojedinih ličnih podataka po važećem zakonu, a prema nalogu nadležnih državnih organa.
Kako čuvamo Vaše podatke o ličnosti
Koristimo industrijske strandarde za čuvanje, obradu i prenos osetljivih podataka o ličnosti kao što su lični podaci i lozinke. Primer standarda su SSL/TLS, PGP i jednosmerni hash algoritmi.
Zaštita se primenjuje uz sistematske, organizacione i tehničke mere koje obezbeđuju intergritet, poverljivost i pristupačnost.
Primenjujemo međunarodni i domaći standard ISO/IEC 27001 sa svim politikama bezbednosti informacija i adekvatnim kontrolama u oblastima:
- informacione bezbednosti
- upravljanja incidentima
- procene rizika
- ažuriranja softvera
- bezbedne konfiguracije i upravljanja uređajima
- FTO zaštite kancelarija i data centara
- razvoja softvera
- obuke i treninga
Zaposleni u IST su obavezani u okviru ISMS prema ISO 27001 da prema NDA ugovorima o poverljivosti podataka obrađuju podatke isključivo prema zahtevima specifičnih zadataka i u skladu sa ZZPL i GDPR, kada god je to moguće i kada nije u suprotnosti sa domicilnim propisima.
Vi kontrolišete Vaše podatke o ličnosti
Vi kontrolišete svoje podatke o ličnosti, što znači da odlučujete o tome koje podatke želite da date i koju vrstu obrade podataka dozvoljavate. Možete opozvati datu saglasnost u bilo kom trenutku.
Ipak, potrebni su nam neki Vaši podaci kako bismo mogli da Vam pružimo tražene usluge. Ukoliko odlučite da opozovete saglasnost, ovo može značiti da nećemo biti u mogućnosti da Vam pružimo sve tražene usluge.
Saznajte više o pravima koja imate u vezi sa Vašim ličnim podacima.
Vaši i podaci o ličnosti Vaših korisnika kada je IST obrađivač podataka o ličnosti
U slučaju kada ste Vi rukovalac podataka i kada je IST obrađivač podataka, obrada podataka o ličnosti Vaših korisnika se reguliše posebnim Aneksom u okviru tzv. Sporazuma o obradi podataka. Ovo važi, na primer, ukoliko imate ugovoren kompletan Pentesting service, sprovođenje ISO trening kurseva, eksterni ISO audit ili IT reviziju kod IST, gde se zahtevi za izvođenje ovih servisa Vaših klijenata čuvaju i obrađuju na našim serverima, zatim za email naloge koje imate kod nas ili za podatke koje čuvate u bazama podataka smeštenim kod nas.
Kako obrađujemo Vaše podatke o ličnosti kada više niste naš korisnik
Kada više niste naš korisnik uklonićemo sve Vaše podatke o ličnosti svuda gde ne postoji zakonska osnova za dalju obradu. Takođe obaveštavamo sve eventualne partnere i podizvođače koji su obrađivali Vaše podatke da takođe izvrše brisanje podataka.
Između ostalog uklanjaju se:
- baze podataka.
- email adrese sa povezanim adresama.
- podaci o ličnosti iz našeg CRM sistema.
- rezervne kopije navedenog se uklanjaju u skladu sa rasporedom ažuriranja sistema rezervnih kopija.
Ne uklanjaju se:
- Podaci potrebni za knjigovodstvene potrebe.
VAŠA PRAVA U VEZI SA VAŠIM PODACIMA O LIČNOSTI
Imate pravo da od nas dobijete informaciju o obradi Vaših podataka i nameni obrade podataka kada smo mi rukovaoci podacima.
Informacije ispod Vam daju prikaz na koji način mi ispunjavamo Vaša prava u vezi sa Vašim podacima, a na osnovu uredbe General Data Protection Regulation (GDPR) Evropske unije.
IST ima lice zaduženo za zaštitu podataka i za bezbednost informacija, koje je odgovorno za sva pitanja zaštite podataka. Ukoliko imate bilo kakvih pitanja, molimo kontaktirajte lice zaduženo za zaštitu podataka (Data Protection Officer) na email: data.protection@istbeograd.com
Pravo na informaciju
Imate pravo da zatražite sažetak Vaših podataka o ličnosti, pri čemu navodite koje informacije želite da dobijete.
Pravo na ispravku
Ukoliko primetite da podatke o ličnosti koje čuvamo o Vama nisu tačne ili su nepotpune, imate pravo da zatražite izmenu ili dopunu pomenutih informacija. Nakon ažuriranja, obavestićemo sve partnere i podizvođače kojih se tiču pomenute izmene.
Pravo na brisanje (pravo na “zaborav”)
Vi kao klijent imate pravo na brisanje Vaših podataka o ličnosti, ukoliko
- podaci više nisu potrebni za svrhe za koje su prikupljeni.
- opozovete saglasnost za podatke za čije čuvanje ne postoji druga pravna osnova.
- svrha obrade podataka je direktni marketing i Vi se protivite obradi.
- se protivite legitimnom interesu kao pravnoj osnovi i ne postoji druga pravna osnova koja je jača.
- lični podaci nisu obrađeni prema zakonu o zaštiti podataka.
- je brisanje potrebno da bi se ispunila pravna obaveza.
Izuzetak su podaci o ličnosti obavezni po zakonu, kao što su informacije o računima koje se čuvaju onoliko dugo koliko propisi iz ove oblasti to propisuju.
Kada je brisanje završeno, mi ćemo takođe obavestiti partnere i podizvođače na koje utiče ova izmena.
Pravo na ograničenje (od 25.05.2018.)
U nekim slučajevima, možete zahtevati da se obrada Vaših podataka o ličnosti ograniči. Ograničenje znači da se podaci označavaju tako da je omogućena obrada u određene ograničene svrhe u budućnosti.
Kada ste uvereni da su Vaši podaci o ličnosti kod IST netačni i zatražili ste izmene ili dopune tih podataka, možete zahtevati da se obrada ograniči dok traju izmene.
Ukoliko je obrada Vaših podataka o ličnosti nezakonita, ali se protivite uklanjanju podataka, možete umesto toga tražiti ograničenje upotrebe.
Kada IST više ne obrađuje lične podatke u svrhu obrade, ali su Vam potrebni radi uspostavljanja, ostvarivanja ili odbrane pravnih zahteva.
Kada ste uložili prigovor na obradu podataka, tokom perioda verifikacije da li legitimni razlozi IST preovlađuju nad Vašim razlozima.
O isteku ograničenja bićete pravovremeno obavešteni.
Prenosivost podataka (od 25.05.2018.)
U nekim slučajevima imate pravo da zatražite i koristite Vaše podatke o ličnosti na drugim mestima. Npr. kod drugih pružalaca usluga ISO trening kurseva, externog audita ili IT revizije.
Ovo važi kada:
- Vi sami podelite podatke sa IST.
- prosledite saglasnost za obradu podataka.
- je obrada podataka neophodna radi pružanja usluga koje ste naručili od nas.
Ovo ne važi kada obrađujemo Vaše podatke:
- na osnovu legitimnog interesa.
- zbog zakonske obaveze.
IST je obavezan da olakša prenos Vaših podataka.
Pravo na prigovor
Imate pravo na prigovor na obradu Vaših ličnih podataka od strane Loopie ukoliko se obrada vrši:
- radi izvršenja zadatka od javnog interesa.
- u oviru izvršenja službenih ovlašćenja.
- na osnovu legitimnog interesa.
Ukoliko se IST protivi Vašem prigovoru, moramo biti u mogućnosti da pokažemo razloge koji su jači od Vaših interesa.
Kada se radi o obradi podataka u vezi sa marketingom, uvek imate pravo na prigovor na obradu podataka u bilo kom trenutku.
Automatizovano donošenje odluka
Imate pravo da ne budete predmet odluka zasnovanih isključivo na bilo kom obliku automatizovanog donošenja odluka, uključujući profilisanje, ukoliko odluka može imati pravne posledice po Vas ili na Vas utiče sličnom važnošću.
Prigovor
Ukoliko verujete da obrađujemo podatke o Vama u suprotnosti sa zakonom o zaštiti podataka, trebalo bi da obavestite naše lice zaduženo za zaštitu podataka što je pre moguće. Takođe, možete podneti prigovor Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti.
Zahtev za obeštećenje
Ukoliko ste pretrpeli štetu zbog obrade Vaših podataka o ličnosti u suprotnosti sa Zakonom o zaštiti podataka, možda imate pravo na obeštećenje. Zahtev za obeštećenje možete podneti licu zaduženom za zaštitu podataka ili pokrenuti slučaj na sudu
VAŠE GDPR OBAVEZE
Ukoliko vodite firmu i imate klijente iz EU, imate iste obaveze kao i IST, a i sve ostale firme, u vezi sa načinom rukovanja podacima o ličnosti Vaših klijenata.
U nastavku su dati saveti o tome šta treba imati u vidu kako bi Vaša firma poštovala uredbu General Data Protection Regulation (GDPR).
Za više informacija prijavite se za pohađanje obuke za sticanje kredencijala PECB Certified Data Protection Officer u trajanju od pet dana u prostoru IST Academy.
Da li su svi u Vašoj organizaciji upoznati sa novim pravilima EU o zaštiti podataka?
- Potrudite se da sve zaposlene u Vašoj organizaciji upoznate sa opštim značenjem GDPR uredbe.
- Uverite se da svi donosioci odluka i ključni ljudi znaju da GDPR menja prethodni Data Protection Directive o podacima o ličnosti i da znaju razlike između njih.
- Istražite kako će Vaša organizacija biti pogođena i identifikujte područja na kojima treba raditi.
Koje podatke o ličnosti obrađujete?
Istražite i napravite listu ili mapu podataka o ličnosti koje prikupljate i obrađujete trenutno, kao i sa kim delite te podatke i zašto.
Da li trenutno koristite izuzetke od pravila?
Direktiva o zaštiti podataka je dozvoljavala obradu nestrukturiranih podataka o ličnosti (kao što je npr. tekst na sajtu) sve dok obrada tih podataka ne predstavlja kršenje integriteta subjekta čiji su podaci. Ovaj izuzetak je nestao primenom GDPR uredbe. Važno je sagledate kako ste se ranije bavili ovim i da izvršite promene, ukoliko je potrebno.
Koje informacije pružate kod prikupljanja podataka o ličnosti?
Prema GDPR uredbi, u obavezi ste da pružite informacije o podacima koje prikupljate, kao npr:
- zašto prikupljate podatke?
- koliko dugo se podaci čuvaju?
- koju pravnu osnovu imate za prikupljanje podataka?
Kako ćete ispuniti prava Vaših klijenata/korisnika?
Vaši klijenti/korisnici imaju prava koja morate biti u mogućnosti da ispunite prema GDPR-u.
Najvažniji delovi su da oni imaju pravo na:
- pristup svojim podacima o ličnosti.
- ispravku netačnih podataka o ličnosti.
- brisanje svojih podataka o ličnosti.
- protivljenje korišćenju podataka o ličnosti za direktni marketing.
- protivljenje korišćenju podataka o ličnosti za automatizovano donošenje odluka i profilisanje.
- premeštanje podataka o lličnosti (prenosivost podataka).
Da li obrađujete lične podatke bez pravne osnove?
Istražite pravni osnov za obradu ličnih podataka i obrišite sve podatke za čiju obradu nemate pravni osnov.
GDPR Vas obavezuje da obavestite korisnike prema kojoj pravnoj osnovi prikupljate lične podatke. To takođe znači da ne možete koristiti lične podatke za bilo šta drugo van zakonske osnove koju ste naveli, a bez dobijanja saglasnosti korisnika.
To znači da čak i ako Vam kupac/korisnik da email adresu kako bi postao kupac ili napravi porudžbinu, nećete moći da šaljete promotivne materijale klijentu putem te email adrese, ukoliko to eksplicitno klijent ne odobri.
Kako dobijate saglasnost?
Istražite kako dobijate saglasnost klijenata, koje informacije pružate i kako čuvate informacije o dobijenoj saglasnosti od strane klijenata/korisnika.
Ne sme biti nikakve sumnje da je Vaš korisnik/klijent aktivno dao saglasnost za obradu podataka o ličnosti. Na primer, nije dozvoljeno koristiti “tihu” saglasnost ili unapred selektovano polje na sajtu za dobijanje saglasnosti.
Da li obrađujete lične podatke dece?
GDPR donosi jaču zaštitu podataka o ličnosti dece. Na primer, ukoliko nudite Internet servise deci, morate da dobijete saglasnost staratelja kako biste obrađivali podatke o ličnosti deteta.
Šta ćete preduzeti u slučaju incidenata koji uključuju podatke o ličnosti?
Ukoliko ste bili izloženi krađi podataka ili ste na bilo koji drugi način izgubili kontrolu nad podacima koje obrađujete, morate u roku od 72 sata dokumentovati i prijaviti incident nadležnom organu. Kreirajte procedure i odredite ko je odgovoran za izradu takvih obaveštenja.
Da li postoje neki posebni rizici prilikom obrade podataka o ličnosti?
Ukoliko obrađujete lične podatke koji mogu dovesti do ozbiljnih rizika po privatnost, kao što je čuvanje osetljivih ličnih podataka, profilisanje ili sveobuhvatni nadzor kamerama na javnom mestu, zahtevi su visoki. Morate se konsultovati sa nadležnim organima pre nego što započnete proces obrade tih podataka.
Kako štitite podatke o ličnosti u Vašem IT okruženju?
Neki osnovni principi zaštite privatnosti su:
- ne prikupljajte više informacija osim onih koje su neophodne.
- ne čuvajte informacije duže nego što je neophodno.
- ne koristite podatke u druge svrhe osim onih koje ste definisali prilikom prikupljanja.
Pridržavajući se ovih principa kod razvoja novih ili izmena postojećih IT sistema, Vašoj organizaciji/kompaniji će biti lakše da ispuni obaveze propisane GDPR uredbom.
Takođe ste obavezni da zaštitite podatke o ličnosti koristeći odgovarajuće tehničke i organizacione mere, a na osnovu osetljivosti podataka i njihove upotrebe.
Ko je odgovoran za zaštitu podataka u Vašoj organizaciji?
Odredite lice zaduženo za zaštitu podataka u Vašoj organizaciji/kompaniji.
Neke vrste organizacija moraju imati lice zaduženo za zaštitu podataka, tzv. Data Protection Officer-a. Ovo npr. važi za organizacije koje vrše obimnu obradu osetljivih ličnih podataka.
Da li poslujete u više zemalja?
Ukoliko je Vaša organizacija aktivna u nekoliko zemalja, uključujući zemlje EU, trebali biste da saznate koji organi su zaduženi za nadzor nad obradom podataka o ličnosti u svakoj od zemalja.
GDPR pravila o ovome su komplikovana, ali pojednostavljeno gledajući, nadležni organi zaduženi za zaštitu podataka se određuju na osnovu sedišta Vaše organizacije, odnosno na osnovu lokacije na kojoj se donose odluke u vezi sa obradom podataka o ličnosti.
Da li imate ugovor o obradi podataka sa onima koji podatke obrađuju u Vaše ime?
Ukoliko koristite servis ili imate partnera koji obrađuje podatke o ličnosti u Vaše ime, taj partner je u ulozi obrađivača podataka. To znači da će obrađivati podatke o ličnosti u skladu sa instrukcijama koje ste mu dali Vi kao rukovalac podataka.
U slučaju kada ste Vi rukovalac podataka i kada je IST obrađivač podataka, obrada podataka o ličnosti Vaših korisnika se reguliše posebnim Aneksom u okviru tzv. Sporazuma o obradi podataka. Ovo važi, na primer, ukoliko imate ugovoren kompletan Pentesting service, sprovođenje ISO trening kurseva, eksterni ISO audit ili IT reviziju kod IST, gde se zahtevi za izvođenje ovih servisa Vaših klijenata čuvaju i obrađuju na našim serverima, zatim za email naloge koje imate kod nas ili za podatke koje čuvate u bazama podataka smeštenim kod nas.