PRIVACY POLICY
for users of the website drv.agency
DRIVE DRUŠTVO SA OGRANIČENOM ODGOVORNOŠĆU BEOGRAD with registered office in Belgrade, ul. Terazije 7-9, MB: 20622156 (hereinafter referred to as “Controller” or “We“) hereby informs visitors to the website whose data are processed (hereinafter: “Data Subjects”), within the meaning of the Law on Personal Data Protection (“Official Gazette”, no. 87/2018, hereinafter referred to as the “Law“), on all essential aspects of the processing of personal data carried out in accordance with the applicable regulations.
The Controller reserves all copyrights on the use of photographs, texts and other published materials, in terms of positive legal regulations in the Republic of Serbia. Photographs, texts and other material may not be published, sold, publicly or privately made available or used in any other way without our consent. Failure to comply with the preceding conditions entails the responsibility and obligation to compensate the Controller for material damage due to violation of a positive right.
- Introductory provisions
1.1 This Privacy Policy regulates the collection and processing of data within the Controller’s website: drv.agency.
1.2 The definitions and expressions in this Privacy Policy correspond to the definitions and expressions contained in the Law. The controller is committed to respecting the legislation of the Republic of Serbia regulating the protection of personal data, as well as respecting the protection of basic human rights and freedoms, and above all the right to privacy of Data Subjects whose personal data is processed by the Controller.
1.3 Clicking on the “Accept cookies” button, or a different button with essentially the same function, in the pop-up window that is displayed to new users of the website drv.agency on the first visit to the website, will be considered an active, willingly done action in order to establish a legal basis for the collection and processing of selected data in the manner and for the purposes described in this Privacy Policy, without any reserves. The Controller will be able to prove, through an electronic log, or otherwise, that the data subject has made the said active, willing action confirming that he is familiar with and agrees with this Privacy Policy. The aforementioned electronic record (log) shall be considered legally valid and sufficient evidence of the given consent, within the meaning of Article 15, paragraph 1 of the Law.
1.4 This Privacy Policy can be changed at any time, with the change made to be displayed on the homepage of drv.agency. In this case, the data subject will be asked to give a new consent to the processing of personal data, in accordance with the changes made to this Privacy Policy.
1.5 The rules governing the collection of personal data through Cookies will be set out in a specific Cookie Policy. All the rules relating to giving consent to the Privacy Policy within the provided pop-up window, as well as the storage of the evidence form – electronic record (log), but also the method of changing and informing the data subjects about the changes made, will fully apply to the cookies used.
1.6 For any additional questions related to the rules and provisions of this Privacy Policy, as well as for the exercise of rights, you can contact by sending an inquiry to the address: dpo@ifgrupa.com
- Application of the principles of personal data processing
2.1 Please note that we, at all times, when collecting, processing and storing your Personal Data, act as follows:
a)The personal data will be processed lawfully, fairly and transparently in relation to the Data Subject (“legality, fairness and transparency”);
b)Personal data will be collected for purposes specifically defined in this Privacy Policy, which are express, justified and lawful and cannot be processed in a manner that is inconsistent with those purposes (“restriction with respect to the purpose of processing”);
c)Personal data will be appropriate, relevant and limited to what is necessary in relation to the purpose of processing (“data minimization”);
d)Personal data will be accurate and, if necessary, updated. In this regard, we will take all reasonable measures to ensure that inaccurate personal data is deleted or corrected without delay (“accuracy”), and we ask that you always inform us of a change in your Personal Data;
e)Personal data will be stored in a form that allows the identification of the Person only within the period necessary for the purpose of processing (“restriction of retention”);
f)Personal data will be processed in a manner that ensures adequate protection of personal data, including protection against unauthorized or unlawful processing, as well as against accidental loss, destruction or damage by applying appropriate technical, organizational and personnel measures (“integrity and confidentiality”).
- Data processed by the Controller
3.1 The controller may collect different categories of personal data, which are used for different purposes and with different legal basis. Usually, it is a set of data that enables the identification of data subjects, entering into communication with the data subject or which are necessary for the provision of a specific service at the request of that person, i.e. for the fulfillment of legally prescribed obligations of the Controller, which include:
- Data collected through cookies provided by the user, i.e. with whose use he has agreed, and which are described in a separate Cookie Policy.
- Data collected electronically on visitor identification (IP address, etc.);
- Name and surname, e-mail address and/or other information that the person leaves under the section “Contact” in order to contact the Controller;
3.2 Personal data is collected only to the extent that it is necessary for the purpose of achieving a specific purpose.
3.3 On the Controller’s website there may be links to the Controller’s pages on social networks (Facebook, Instagram, Linkedin). All data collected during your visit by these platforms, as well as any data you voluntarily leave on these social networks, are subject to, in addition to this Privacy Policy, and the rules prescribed by these platforms (Terms of Service / Terms of Use, Privacy Policy, Cookie Policy). The controller cannot be held liable for any unlawful use of personal data by the companies that own or control the social networks. The privacy policies of these platforms can be found at the following links.
- https://www.facebook.com/policy.php
- https://help.instagram.com/519522125107875/?maybe_redirect_pol=0
- https://www.linkedin.com/legal/privacy-policy
- Legal basis for data processing
4.1 The legal basis for the processing of personal data is the free and informed consent of the data subjects, i.e. their consent for the purposes set out in this Privacy Policy, in accordance with Article 12 paragraph 1 of the Law.
4.2 Your Personal Data obtained by us on the basis of your consent will be processed and stored for as long as your consent exists, i.e. until the possible revocation of your consent. You can revoke your consent to the collection, processing and use of your data at any time by sending an electronic request to the e-mail address: dpo@ifgrupa.com
4.3 The revocation of consent does not affect the admissibility of the processing of Personal Data carried out on the basis of your consent before revocation.
- Purpose of data processing
5.1 The controller uses the data for various purposes that are always directly related to the legal basis of the processing. For all purposes of processing for which the need arises, the data subject will be informed of all necessary information before the commencement of such processing operations, and the processing itself will be based on an appropriate legal basis, in accordance with the law. The purpose of processing in relation to cookies is defined within the specific Cookie Policy.
- Disclosure and transfer of Personal Data
6.1 The data may be disclosed to other business partners, if necessary, to related entities of the Controller in the territory of the Republic of Serbia, employees of the Controller, companies that perform spatial security, property and Data Subjects, legal service providers, IT service providers, state bodies (State Audit Institution), Data Subjects who are in a contractual relationship with the Controller (Data Processors) and who are entrusted with certain data processing activities, in accordance with the legally prescribed conditions relating to the security of information, the obligation to keep confidentiality and contractual regulation of rights and obligations). All Data Subjects are obliged to act in accordance with all provisions of the Law regarding the security of personal data processing;
- Rights of data subjects related to processing of Personal Data
7.1 The data subjects may request the following:
a)to request information on whether the Controller is processing his/her Personal Data and to request access to such data;
At the request of the Person, We will provide information about the personal data of the Data Subjects processed by us or our processors, in accordance with our instructions, about the purpose of the processing of personal data, the legal basis and duration of the processing, the name and address of the processor and his activities related to the processing, the circumstances and the impact on the personal data breach, as well as the measures taken to eliminate them, and, in the case of data transfer, information on the legal basis of such transmission and the receiver.
We will, after your request, but no later than 15 days from the date of receipt of the request, provide you with a written statement, in an intelligible language. A written statement shall be provided free of charge, unless the request is evidently unfounded or excessive, and in particular if it is repeated frequently. In this case, we may charge the necessary administrative costs of providing a written statement or acting on the request or we may refuse to act on the request.
We are obliged to provide the Person to whom the Personal Data relate, at his request, a copy of the Personal Data we process. We may require reimbursement of necessary costs for the production of additional copies required by the Data Subject. If the request for a copy is submitted electronically, the information shall be provided in a commonly used electronic form, unless the data subject has requested a different submission.
b)to request rectification, amendment or deletion of his/her Personal Data and the right to object to data processing
The data subject has the right to have his/her inaccurate personal data rectified without undue delay. Depending on the purpose of the processing, the data subject has the right to supplement his or her incomplete personal data, which includes the provision of an additional statement.
The data subject has the right to request that his/her Personal Data be deleted by the Controller.
We are obliged to delete personal data without undue delay if: 1) Personal data are no longer necessary for the purpose for which they were collected or otherwise processed, 2) The person has revoked the consent on the basis of which the processing was carried out, and there is no other legal basis for the processing, 3) The person has filed an objection to the processing, 4) Personal data are processed unlawfully, 5) Personal data must be deleted in order to comply with legal obligations; 6) Personal data are collected in connection with the use of information society services within the meaning of the Law.
c)to file a complaint with the Commissioner for Information of Public Importance and Personal Data Protection
d)the right to portability of Personal Data
The data subject has the right to receive the Personal Data previously provided to us by us in a structured, commonly used and electronically readable form and has the right to transfer this Personal Data to another controller without interference from us, if the following conditions are met together:
- the processing is based on consent or on the basis of a Agreement;
- Processing is done automatically.
e)that the processing of Personal Data is restricted by the Controller, if one of the following cases is fulfilled
- The data subject disputes the accuracy of the Personal Data, within a period that allows us to verify the accuracy of the Personal Data;
- the processing is unlawful and the data subject opposes the erasure of the Personal Data and, instead of erasure, requests the restriction of the use of the Personal Data;
- we no longer need personal data for the purpose of processing, but the Data Subject has requested them for the purpose of submitting, exercising or defending a legal claim;
- The data subject has filed an objection to the processing pursuant to Article 37 paragraph 1 of the Gdpr. Assessing whether the legal basis for processing by the controller outweighs the interests of the Person;
We are obliged to inform all recipients to whom the Personal Data has been disclosed of any correction or addition or deletion of personal data or limitation of their processing in accordance with the Law, unless this is impossible or requires excessive expenditure of time and resources. We are obliged to inform the Data Subject, at his request, of all recipients.
If he believes that this is justified in relation to the particular situation in which he/she is located, the data subject has the right to object to the processing of his/her personal data at any time, in accordance with the Law.
The data subject has the right not to be subject to a decision made solely on the basis of automated processing, including profiling, if that decision produces legal consequences for that person or the decision significantly affects his/her position.
7.2 Procedure in case of personal data breach
If a personal data breach can produce a high risk to the rights and freedoms of the Person, we are obliged, without undue delay, to inform the data subject of the violation, in accordance with the Law.
In the event of a personal data breach that may cause a risk to the rights and freedoms of the Person, we are obliged to inform the Commissioner for Access to Information of Public Importance and Personal Data Protection without undue delay, or if possible within 72 hours of becoming aware of the breach. The notification submitted to the competent authority contains all information in accordance with the Law.
- Protection of personal data
8.1 Within its business organization, the controller strives to apply the highest possible standards in the field of personal data protection, and to apply all necessary organizational, technical and personnel measures.
8.2 In accordance with the above, the policy of the Controller is that within the technical measures of the Controller, the development, storage, processing and access of data, documents and information is carried out on the Controller’s document management systems (among others: Microsoft Sharepoint portal, File Server, Archive Server, Microsoft NAV, Pantheon, etc.). The controller takes care that employees are obliged to produce and process data, documents and information on the Controller’s computers and associated storage devices, while keeping confidential data and documents on them is prohibited. In addition, data on document management and ERP solutions are stored within the predefined structures of sites, sites and document libraries that have predefined access rights. All enterprise computers and external storage devices are protected by bitlocker encryption. Users access all IT services on the basis of a multi-layered authentication system (“MFA”) controlled by microsoft active directory and network access protection (NAP) systems. In addition, the Controller ensures that employees do not use arbitrary designated systems, and internal procedures prohibit the use of private, public and cloud computing resources and storage systems for the processes of creating, processing, storing and accessing data, documents and information. Finally, the Controller periodically conducts training of employees regarding the safety of the use of system applications.
8.3 All processors and/or other recipients of personal data are also obliged to apply all prescribed safeguards, in accordance with the signed contract with the Controller and legally prescribed standards and obligations.
- Period of retention of personal data
9.1 The controller strives to keep the data for the period necessary for a specific purpose of processing to be achieved, after which the data are deleted or rendered unrecognizable (anonymization measures). The specific retention period, i.e. the criteria on the basis of which it is possible to determine, depends on the purpose for which the personal data are processed.
9.2 Where Personal Data is processed by the Controller on the basis of consent, the data collected for the purpose of obtaining business contact, the Controller in this case keeps personal data in its databases until the revocation of consent.
9.3 Data collected through internet browsers and cookies are stored within the time limits provided by cookies accepted by the data subject, as described in the Cookie Policy of the Controller.
9.4 Additional information about the deadlines and method of storage can be found in special notices.
- Additional information
10.1 Personal data collected through the website of drv.agency are not transferred from the Republic of Serbia, except in the event of the possible use of third-party cookies, for which the Controller cannot be held responsible. The servers used for data transfer are located within EEA countries where an adequate level of protection of personal data is ensured. If, in exceptional cases, the transfer of data is carried out through a server outside the EEA, such data transfer will be carried out with the application of appropriate safeguards, in accordance with the law.
10.2 In case of the need to transfer personal data to another country, i.e. outside the territory of the Republic of Serbia, the transfer will be made in accordance with all the rules prescribed by the applicable Law, with the application of standard contractual clauses prescribed by the Commissioner for Information of Public Importance and Personal Data Protection.
10.3 The provision of data by the data subject is not a legal, nor a contractual obligation, when using the possibilities provided by the website. Failure to provide the requested data as a consequence may only entail the impossibility of establishing the requested contact, necessary for further communication in this way, i.e. the inability to use the services available through the website of drv.agency.
10.4 When processing the data collected through the website, the Controller does not use any automated decision-making or profiling of the data subject.
10.5 Your Personal Data will be treated as confidential information and we will take appropriate necessary measures to protect it in accordance with the Law. Access to them will be granted only to Data Subjects who, given the job description they perform, should be familiar with your Personal Data and only to the extent necessary for the performance of their duties.
10.6 If we decide to change our Privacy Policy, the changes will be posted and posted on the drv.agency website. This Privacy Policy is available on the drv.agency website. In case of publication and possible disagreement between the Serbian and English versions of this Privacy Policy, the Privacy Policy in the Serbian language is valid.
Belgrade, 01 August 2023
POLITIKA PRIVATNOSTI
za korisnike internet stranice drv.agency
DRIVE DRUŠTVO SA OGRANIČENOM ODGOVORNOŠĆU BEOGRAD sa registrovanim sedištem u Beogradu, ul. Terazije 7-9, MB: 20622156 (u daljem tekstu: „Rukovalac“ ili „Mi“) ovim obaveštava posetioce internet stranice drv.agency, čiji se podaci obrađuju (u daljem tekstu: „Lica“), u smislu Zakona o zaštiti podataka o ličnosti („Službeni glasnik“, br. 87/2018, u daljem tekstu: „Zakon“), o svim bitnim aspektima obrade podataka o ličnosti a koja se odvija u skladu sa važećom regulativom.
Rukovalac zadržava sva autorska prava na korišćenje fotografija, tekstova i ostalih objavljenih materijala, u smislu pozitivnih zakonskih propisa u Republici Srbiji. Fotografije, tekstovi i ostali materijal ne smeju se objavljivati, prodavati, javno ili privatno činiti dostupnim niti na bilo koji drugi način upotrebljavati bez naše saglasnosti. Nepridržavanje prethodnih uslova povlači za sobom odgovornost i obavezu naknade materijalne štete Rukovaocu usled povreda pozitivnog prava.
- Uvodne odredbe
- Ovom Politikom privatnosti uređuje se prikupljanje i obrada podataka u okviru internet stranice Rukovaoca: drv.agency.
- Definicije i izrazi iz ove Politike privatnosti korespondiraju definicijama i izrazima sadržanim u Zakonu. Rukovalac je posvećen poštovanju zakonodavstva Republike Srbije koje reguliše zaštitu podataka o ličnosti, kao i poštovanju zaštite osnovnih ljudskih prava i sloboda, a pre svega prava na privatnost lica čije podatke o ličnosti Rukovalac obrađuje.
- Klik na dugme “Prihvati kolačiće”, ili drugačije označenog dugmeta sa suštinski istom funkcijom, u pop-up prozoru koji se novim korisnicima internet stranice drv.agency prikazuje prilikom prve posete internet stranici, smatraće se aktivnom, voljno učinjenom radnjom u cilju uspostavljanja zakonitog pravnog osnova za prikupljanje i obradu izabranih podataka na način i u svrhe opisane u ovoj Politici privatnosti, bez ikakvih rezervi. Rukovalac će biti u mogućnosti da dokaže, putem elektronskog zapisa (log), ili na drugi način, da je lice na koje se podaci odnose učinilo pomenutu aktivnu, voljnu radnju kojom je potvrdilo da je upoznato i da se slaže sa ovom Politikom privatnosti. Navedeni elektronski zapis (log) smatraće se pravno valjanim i dovoljnim dokazom o datoj saglasnosti, u smislu člana 15 stav 1 Zakona.
- Ova Politika privatnosti može biti izmenjena u bilo koje vreme, s tim da će se učinjena promena prikazati na naslovnoj internet stranici drv.agency. U tom slučaju, od lica na koja se podaci odnose zatražiće se da daju novu saglasnost za obradu ličnih podataka, shodno učinjenim izmenama ove Politike privatnosti.
- Pravila koja regulišu prikupljanje ličnih podataka putem Kolačića (Cookies), biće navedena u okviru posebne Politike kolačića. Sva pravila koja se odnose na davanje saglasnost na Politiku privatnosti u okviru predviđenog pop-up prozora, kao i čuvanje dokazne forme – elektronskog zapisa (log-a), ali i način izmene i obaveštavanja lica na koja se podaci odnose o učinjenim izmenama, u potpunosti će se primenjivati i na upotrebljene Kolačiće.
- Za sva dodatna pitanja koja se odnose na pravila i odredbe ove Politike privatnosti, kao i radi ostvarivanja prava, možete se obratiti slanjem upita na adresu: dpo@ifgrupa.com
- Primena načela obrade podataka o ličnosti
- Molimo Vas da imate u vidu da Mi, u svakom trenutku, prilikom prikupljanja, obrade i čuvanja Vaših Ličnih podataka, postupamo na sledeći način:
- Lični podaci će se obrađivati zakonito, pošteno i transparentno u odnosu na Lice na koje se podaci odnose („zakonitost, poštenje i transparentnost”);
- Lični podaci će se prikupljati u svrhe koje su konkretno određene ovom Politikom Privatnosti, koje su izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama („ograničenje u odnosu na svrhu obrade”);
- Lični podaci će biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade („minimizacija podataka”);
- Lični podaci će biti tačni i, ako je to neophodno, ažurirani. S tim u vezi, Mi ćemo preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave („tačnost”), a Vas molimo da nas uvek obavestite o promeni Vaših Ličnih podataka;
- Lični podaci će se čuvati u obliku koji omogućava identifikaciju Lica samo u roku koji je neophodan za ostvarivanje svrhe obrade („ograničenje čuvanja”);
- Lični podaci će se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera („integritet i poverljivost”).
- Podaci koje Rukovalac obrađuje
- Rukovalac može prikupljati različite kategorije podataka o ličnosti, koje se koriste u različite svrhe i sa različitim pravnim osnovom. Uobičajeno, radi se o setu podataka koji omogućava identifikaciju lica čiji se podaci obrađuju, stupanje u komunikaciju sa licem čiji se podaci obrađuju ili koji su neophodni za pružanje konkretne usluge na zahtev tog lica, odnosno za ispunjenje zakonom propisanih obaveza Rukovaoca, u šta spadaju:
- Podaci prikupljeni putem kolačića koje je korisnik omogućio, odnosno sa čijom upotrebom se saglasio, a koji su opisani u zasebnoj Politici kolačića.
- Podaci prikupljeni elektronskim putem o identifikaciji posetioca (IP adresa i sl.);
- Ime i prezime, e-mail adresa i/ili drugi podaci koje lice ostavi u okviru rubrike “Kontakt” radi kontaktiranja Rukovaoca;
- Lični podaci prikupljaju se samo u meri u kojoj su neophodni za ostvarivanje konkretne svrhe.
- Na internet stranici Rukovaoca mogu postojati linkovi ka stranicama Rukovaoca na društvenim mrežama (Facebook, Instagram, Linkedin). Na sve podatke koje prilikom Vaše posete prikupljaju navedene platforme, kao i na sve podatke koje svojevoljno ostavite na navedenim društvenim mrežama, primenjuju se, pored ove Politike privatnosti, i pravila koja su propisale navedene platforme (Terms of Service/Terms of Use, Privacy Policy, Cookie Policy). Rukovalac se ne može se smatrati odgovornim za bilo koji vid nezakonite upotrebe ličnih podataka, učinjen od strane kompanija u čijem su vlasništvu, odnosno pod čijom se kontrolom nalaze društvene mreže. Politike privatnosti navedenih platformi možete pronaći na sledećim linkovima.
- https://www.facebook.com/policy.php
- https://help.instagram.com/519522125107875/?maybe_redirect_pol=0
- https://www.linkedin.com/legal/privacy-policy
- Pravni osnov obrade podataka
- Pravni osnov obrade ličnih podataka predstavlja slobodna i informisana saglasnost lica na koja se podaci odnose, odnosno njihov pristanak za svrhe određene u ovoj Politici privatnosti, u skladu sa članom 12 stav 1 Zakona.
- Vaši Lični podaci do kojih smo došli na osnovu Vašeg pristanka će se obrađivati i čuvati sve dok postoji Vaš pristanak, odnosno sve do eventualnog opoziva Vašeg pristanka. Pristanak za prikupljanje, obradu i korišćenje Vaših podataka možete opozvati u svakom trenutku slanjem elektronskog zahteva na mail adresu: dpo@ifgrupa.com
- Opoziv pristanka ne utiče na dopuštenost obrade Ličnih podataka izvršenu na osnovu Vašeg pristanka pre opoziva.
- Svrha obrade podataka
- Rukovalac koristi podatke u različite svrhe koje su uvek neposredno vezane za pravni osnov obrade. Za sve svrhe obrade za kojima se ukaže potreba, lice na koje se podaci odnose biće obavešteno o svim neophodnim informacijama, pre započinjanja takvih radnji obrade, a sama obrada biće bazirana na odgovarajućem pravnom osnovu, u skladu sa zakonom. Svrha obrade u pogledu kolačića definisana je u okviru posebne Politike kolačića.
- Otkrivanje i prenos Podataka o ličnosti
- Podaci mogu biti otkriveni drugim poslovnim partnerima, ukoliko je to neophodno, povezanim licima Rukovaoca na teritoriji Republike Srbije, zaposlenima kod Rukovaoca, društvima koja vrši poslove obezbeđenja prostora, imovine i lica, pružaocima pravnih usluga, IT serviserima, državnim organima (Državna revizorska institucija), licima koja su u ugovornom odnosu sa Rukovaocem (Obrađivači podataka) i kojima se poveravaju određene radnje obrade podataka, u skladu sa zakonom propisanim uslovima koji se odnose na bezbednost informacija, obavezu čuvanja tajnosti i ugovornog uređenja prava i obaveza). Sva lica obavezna su da u pogledu ličnih podataka postupaju u skladu sa svim odredbama Zakona u pogledu sigurnosti obrade ličnih podataka;
- Prava lica čiji se podaci obrađuju u vezi sa obradom Podataka o ličnosti
- Lice čiji se podaci obrađuju od strane Rukovaoca mogu zahtevati sledeće:
- da zahteva informaciju o tome da li Rukovalac obrađuje njegove/njene Lične podatke i da zahteva pristup tim podacima
Na zahtev Lica, Mi ćemo pružiti informacije o ličnim podacima Lica koje obrađujemo Mi ili naši obrađivači, u skladu sa našim uputstvima, o svrsi obrade Ličnih podataka, pravnom osnovu i trajanju obrade, imenu i adresu obrađivača i njegovih aktivnosti vezanih za obradu, okolnosti i uticaju na povredu podataka o ličnosti, kao i mere preduzete u cilju njihovog eliminisanja, i, u slučaju prenosa podataka, informacije o pravnom osnovu takvog prenosa i prijemniku.
Mi ćemo nakon Vašeg podnošenja zahteva, ali najkasnije u roku od 15 dana od dana prijema zahteva, dostaviti Vama pisano izjašnjenje, na razumljivom jeziku. Pisano izjašnjenje će se dostaviti besplatno, osim ako je zahtev očigledno neosnovan ili preteran, a posebno ako se isti učestalo ponavlja. U tom slučaju, možemo naplatiti nužne administrativne troškove davanja pisanog izjašnjenja odnosno postupanja po zahtevu ili možemo odbiti postupanje po zahtevu.
Mi smo dužni da Licu na koje se Lični podaci odnose, na njegov zahtev, dostavimo kopiju Ličnih podataka koje obrađujemo. Mi možemo zahtevati naknadu nužnih troškova za izradu dodatnih kopija koje zahteva Lice na koje se podaci odnose. Ako se zahtev za kopiju dostavlja elektronskim putem, informacije se dostavljaju u uobičajeno korišćenom elektronskom obliku, osim ako je Lice na koje se podaci odnose zahtevalo drugačije dostavljanje.
- da zahteva ispravku, dopunu ili brisanje njegovih/njenih Ličnih podataka i prava na podnošenje prigovora na obradu podataka
Lice na koje se podaci odnose ima pravo da se njegovi/njeni netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, Lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.
Lice na koje se podaci odnose ima pravo da zatraži da se njegovi/njeni Lični podaci izbrišu od strane Rukovaoca.
Mi smo dužni da bez nepotrebnog odlaganja izbrišemo Lične podatke i to ukoliko: 1) Lični podaci više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani, 2) Lice je opozvalo pristanak na osnovu kojeg se obrada vršila, a nema drugog pravnog osnova za obradu, 3) Lice je podnelo prigovor na obradu, 4) Lični podaci su nezakonito obrađivani, 5) Lični podaci moraju biti izbrisani u cilju izvršenja zakonskih obaveza; 6) Lični podaci su prikupljeni u vezi sa korišćenjem usluga informacionog društva u smislu Zakona.
- da podnese pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti
- pravo na prenosivost Ličnih podataka
Lice na koje se Lični podaci odnose ima pravo da Lične podatke koje je prethodno nama dostavilo primi od nas u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i ima pravo da ove Lične podatke prenese drugom rukovaocu bez ometanja sa naše strane, ako su zajedno ispunjeni sledeći uslovi:
- obrada je zasnovana na pristanku ili na osnovu ugovora;
- obrada se vrši automatizovano.
- da se obrada Ličnih podataka ograniči od strane Rukovaoca, ako je ispunjen jedan od sledećih slučajeva
- Lice na koje se podaci odnose osporava tačnost Ličnih podataka, u roku koji omogućava nama proveru tačnosti Ličnih podataka;
- obrada je nezakonita, a Lice na koje se podaci odnose se protivi brisanju Ličnih podataka i umesto brisanja zahteva ograničenje upotrebe Ličnih podataka;
- nama više nisu potrebni Lični podaci za ostvarivanje svrhe obrade, ali ih je Lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
- Lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa članom 37. stav 1. Zakona, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima Lica;
Mi smo dužni da obavestimo sve primaoce kojima su Lični podaci otkriveni o svakoj ispravci ili dopuni ili brisanju Ličnih podataka ili ograničenju njihove obrade u skladu sa Zakonom, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena i sredstava. Mi smo dužni da Lice na koje se podaci odnose, na njegov zahtev, informišemo o svim primaocima.
Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese nama prigovor na obradu njegovih/njenih podataka o ličnosti, u skladu sa Zakonom.
Lice na koje se podaci odnose ima pravo da se na njega/nju ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj.
- Postupak u slučaju povrede Ličnih podataka
Ako povreda Ličnih podataka može da proizvede visok rizik po prava i slobode Lica, Mi smo dužni da, bez nepotrebnog odlaganja, o povredi obavesti lice na koje se podaci odnose, u skladu sa Zakonom.
U slučaju povrede Ličnih podataka koja može da proizvede rizik po prava i slobode Lica, Mi smo dužni da o tome obavestimo Poverenika za pristupi informacijama od javnog značaja i zaštitu podataka o ličnosti bez nepotrebnog odlaganja, ili ako je to moguće u roku od 72 časa od saznanja za povredu. Obaveštenje dostavljeno nadležnom organu sadrži sve informacije u skladu sa Zakonom.
- Zaštita podataka o ličnosti
- Rukovalac u okviru svoje poslovne organizacije nastoji da primenjuje najviše moguće standarde u oblasti zaštite podataka o ličnosti, te primenjuje sve neophodne organizacione, tehničke i kadrovske mere.
- Saglasno navedenom, politika Rukovaoca jeste da se u okviru tehničkih mera izrada, čuvanje, obrada i pristup podacima, dokumentima i informacijama obavlja na kompanijskim dokument management sistemima (između ostalog: Microsoft Sharepoint portal, File Server, Archive Server, Microsoft NAV, Pantheon i dr.). Rukovalac vodi računa da su Zaposleni u obavezi da izradu i obradu podataka, dokumenata i informacija sprovode na kompanijskim računarima i pridruženim storage uređajima, dok je čuvanje poverljivih podataka i dokumenata zabranjeno na istim. Dodatno, podaci se na dokument management i ERP rešenjima čuvaju u okviru predefinisanih struktura lokacija, sajtova i dokument biblioteka koja poseduje predefinisana prava pristupa. Svi kompanijski računari i eksterni storage uređaji su zaštićeni „bitlocker” enkripcijom. Korisnici svim IT servisima pristupaju na osnovu višeslojnog sistema autentifikacije („MFA“) koji kontrolišu sistemi “Microsoft Active Directory” i “Network Access Protection (NAP)”. Pored navedenog, Rukovalac se stara da zaposleni ne koriste proizvoljno određene sisteme, te je internim procedurama zabranjena upotreba privatnih, javnih i cloud računarskih resursa i storage sistema za procese kreiranja, obrade, čuvanja i pristupa podacima, dokumentima i infomacijama. Konačno, Rukovalac periodično sprovodi edukaciju zaposlenih u pogledu bezbednosti korišćenja sistemskih aplikacija.
- Svi obrađivači i/ili drugi primaoci podataka o ličnosti su takođe dužni da primenjuju sve propisane mere zaštite, uskladu sa potpisanim ugovorom sa Rukovaocem i zakonom propisanim standardima i obavezama.
- Rok čuvanja podataka o ličnosti
- Rukovalac nastoji da podatke čuva u periodu koji je neophodan da se određena, konkretna svrha obrade ostvari, nakon čega se podaci brišu ili čine neprepoznatljivim (mere anonimizacije). Konkretan period čuvanja, odnosno kriterijumi na osnovu kojih je moguće odrediti isti, zavisi od svrhe u koje se lični podaci obrađuju.
- Kada se Podaci o ličnosti obrađuju od strane Rukovaoca na osnovu pristanka, podaci prikupljeni za potrebe ostvarivanja poslovnog kontakta, Rukovalac u tom slučaju čuva Podatke o ličnosti u svojim bazama do opoziva pristanka.
- Podaci prikupljeni putem internet pretraživača i kolačića, čuvaju se u rokovima koje predviđaju kolačići prihvaćeni od strane lica na koje se podaci odnose, a kako je opisano u Politici kolačića Rukovaoca.
- Dodatne informacije o rokovima i načinu čuvanja moguće je pronaći u posebnim obaveštenjima.
- Dodatne informacije
- Lični podaci prikupljeni putem internet stranice drv.agency, ne iznose se iz Republike Srbije, izuzev prilikom eventualne upotrebe kolačića treće strane, za šta se Rukovalac ne može smatrati odgovornim. Serveri koji se koriste za transfer podataka nalaze se u okviru zemalja EEA u kojima je obezbeđen primereni nivo zaštite ličnih podataka. Ukoliko se u izuzetnim slučajevima transfer podataka bude obavljao preko servera izvan EEA, za takav transfer podataka vršiće se uz primenjivanje odgovarajućih mera zaštite, u skladu sa zakonom.
- U slučaju potrebe da se lični podaci iznesu u drugu državu, odnosno van teritorije Republike Srbije, prenos će biti učinjen u skladu sa svim pravilima koje propisuje važeći Zakon, uz primenu standardnih ugovornih klauzula propisanih od strane Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
- Davanje podataka od strane lica na koja se podaci odnose nije zakonska, niti ugovorna obaveza, prilikom korišćenja mogućnosti koje pruža internet stranica. Nedavanje traženih podataka kao posledicu može povući jedino nemogućnost uspostavljanja traženog kontakta, neophodnog za dalju komunikaciju na ovaj način, odnosno nemogućnost korišćenja usluga koje su dostupne putem internet stranice drv.agency.
- Prilikom obrade podataka koji su prikupljeni preko internet stranice Rukovalac ne koristi bilo kakvo automatizovano donošenje odluka, niti profilisanje lica na koje se podaci odnose.
- Vaši Lični podaci će biti tretirani kao poverljive informacije i Mi ćemo preduzeti odgovarajuće potrebne mere kako bi iste zaštitila u skladu sa Zakonom. Pristup njima imaće samo lica koja, s obzirom na opis posla koji obavljaju, treba da budu upoznata sa Vašim Ličnim podacima i to samo u obimu koji je neophodan za obavljanje njihovih poslova.
- Ako odlučimo da promenimo svoju Politiku privatnosti, promene će biti postavljene i objavljene na web stranici drv.agency. Ova Politika privatnosti je dostupna na web stranici drv.agency. U slučaju objavljivanja i eventualne nesaglasnosti srpske i engleske verzije ove Politike privatnosti, važeća je Politika privatnosti na srpskom jeziku.
Beograd, 01.08.2023. godine.