Политика заштите веб-сајтова Друштва
Друштво за истраживање, производњу, прераду, дистрибуцију и промет нафте и нафтних деривата и истраживање и производњу природног гаса Нафтна индустрија Србије а.д. Нови Сад, Народног фронта 12, 21000 Нови Сад (у даљем тексту: НИС), је руковалац подацима о личности физичких лица које обрађује у складу са Законом о заштити података о личности (“Сл. гласник РС”, бр. 87/2018, у даљем тексту: Закон) и пословним потребама.
НИС обрађује податке о личности у складу са овом Политиком заштите података о личности – Политиком приватности (у даљем тексту: Политика) и осталим интерним актима који регулишу питања заштите података о личности и приватности.
1. Сврха документа и основни појмови
Ова Политика има за циљ да на јасан, разумљив и лако доступан начин пружи информације о томе коју врсту података о личности НИС прикупља, у коју сврху, по ком правном основу и како се остварују права лица везана за обраду њихових података о личности. Како би лица на која се подаци односе била свесна права која су им гарантована и начина на који могу да их остваре, потребно је да знају да поједини изрази у овом документу имају следеће значење:
- под обрадом податка о личности подразумева се свака радња која се врши аутоматизовано или неаутоматизовано са подацима о личности или њиховим скуповима као што је прикупљање, употреба, бележење, разврставање, груписање, односно структурисање, похрањивање, прилагођавање, мењање, откривање, преношење, достављање, пружање на увид, копирање односно умножавање, упоређивање, ограничавање, брисање или уништавање, које НИС врши директно или преко повезаних лица.
- податак о личности је сваки податак који се односи на физичко лице чији је идентитет одређен или одредив, директно или индиректно (у даљем тексту: податак или податак о личности).
- лице на које се подаци односе је свако физичко лице (појединац) чији се подаци о личности обрађују од стране НИС-а.
- посебну врсту података о личности чине подаци о личности којима се открива расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, као и обрада генетских података, биометријских података у циљу јединствене идентификације лица, података о здравственом стању или података о сексуалном животу или сексуалној оријентацији физичког лица.
2. Област примене
Политика се примењује на све податке о личности корисника услуга, запослених, ангажованих лица и осталих лица чије податке НИС обрађује, односно којима одређује сврху и начин обраде.
Политика се примењује на све производе, услуге, процесе и активности у којима НИС укључује обраду података о личности.
Политика је првенствено намењена физичким лицима која попуњавају обрасце и/или попуњавају захтеве и/или се користе услугама и производима НИС-а (у даљем тексту: Корисници) и/или су заинтересована за услуге и производе (у даљем тексту: Заинтересована лица), запосленима у НИС-у и лицима која су ангажована у НИС-у, али осталим физичким лицима до чијих података НИС долази током свог пословања, у складу са важећим законским прописима.
Политика се не примењује на анонимизоване податке, односно на податке на основу којих идентитет лица није непосредно или посредно одредив. Анонимизовани податак је податак који је измењен на начин да се идентитет физичког лица не може одредити нити је идентитет одредив, па се стога, у складу с важећим прописима, и не сматра податком о личности.
НИС обрађује податке о личности у различите конкретно одређене, изричите, оправдане и законите сврхе, а средства прикупљања, правни основ за обраду, употреба, откривање и рокови чувања разликују се у зависности од сврхе.
3. Начела обраде заштите података о личности
Обрада података о личности у НИС-у врши се у складу са начелима обраде података о личности којим се обезбеђује заштита права и слобода корисника, заинтересованих лица, запослених, ангажованих и осталих лица чији се подаци о личности обрађују.
Начела обраде података о личности којима НИС обезбеђује права и слободе лица на које се подаци односе у складу са Законом су следећа:
а) Законитост, поштење и транспарентност
НИС обезбеђује законит, поштен и транспарентан начин обраде података о личности уз помоћ следећих мера:
- јасан и прегледан начин прослеђивања информација лицу на које се подаци односе о сврси, начину и врсти обраде података о личности још у фази прикупљања података о личности;
- обрада је потребна у циљу извршења уговора закљученог са лицем на које се подаци односе или за предузимање радњи на захтев лица на које се подаци односе, пре закључења уговора
- обрада се заснива на претходном пристанку лица на обраду својих података;
- обрада је потребна ради поштовања правних обавеза које НИС као руковалац подацима о личности има (нпр. прослеђивање података о личности запослених државним органима по основу закључених уговора о раду) или извршења законом прописаних овлашћења које НИС има као руковалац;
- обрада је потребна ради остваривања легитимног интереса НИС-а.
б) Ограничење сврхе
НИС обрађује податке о личности у сврхе које су конкретно одређене, изричите, оправдане и законите и даље се не могу обрађивати на начин који није у складу са тим сврхама.
Пре обраде података о личности у сврхе за које НИС до сад није обрађивао податке о личности или за потребе обраде већ обрађиваних података о личности у друге сврхе, НИС врши процену интегрисане и подразумеване заштите података о личности и по потреби израђује процену утицаја заштите података о личности, уколико је неопходна и прибавља пристанак лица на које се подаци односе.
Приликом процене интегрисане и подразумеване заштите података о личности НИС процењује за сваки производ, услугу, процедуру и активност да ли је обрада података о личности неопходна за одређену сврху.
ц) Минимални обим података
НИС у току прибављања података о личности о лицу на које се подаци односе обрађује само податке о личности који су примерени, битни и ограничени за испуњење сврхе за коју се подаци обрађују.
д) Тачност
НИС обезбеђује тачност података о личности, предузимањем разумних мера којима се обезбеђује да се нетачни подаци о личности без одлагања избришу или исправе.
е) Ограничење чувања
Рокови чувања података су одређени интерним актима НИС-а, и то на начин да се чувају у оквиру законски одређених рокова чувања и у оквиру рокова неопходних за постизање сврхе обраде истих.
У случају обраде података о личности после истека рока чувања у сврхе нпр. израде статистичких анализа, НИС (трајно) анонимизира податке о личности на начин на који није могуће идентификовати физичко лице на којег се подаци о личности односе.
ф) Интегритет и поверљивост
НИС поштује начело интегритета и поверљивости података о личности. Осим тога, има имплементиране техничке и организационе мере за заштиту података о личности пратећи при томе законске одредбе, добру пословну праксу и међународно признате стандарде.
Обрада података о личности на локацији обрађивача врши се на основу уговора, којим се између осталог уређују дужности обрађивача у погледу предузимања организационих и техничких мера заштите података о личности и тренутног извештавања о безбедносним догађајима који би могли да имају утицај на поверљивост и / или интегритет података о личности.
4. Коју категорију података о личности обрађујемо?
НИС прикупља и обрађује следеће категорије података о личности:
- Информације садржане у приступницама и обрасцима које попуњавају Корисници и у форми захтева Заинтересованих лица.
- Подаци о личности садржани у приступницама и захтевима, а који су неопходни ради пружања услуге, испуњења уговорне обавезе или закључења уговора. Ово подразумева обраду следећих података: име и презиме, контакт подаци, подаци о адреси, пол, датум рођења, број корисничке картице (нпр. за производ Са нама на путу).
- Информације које Корисници и/или Заинтересована лица достављају попуњавањем одговарајућих формулара на нашој интернет страници.
- Ово укључује податке добијене попуњавање различитих образаца у сврху креирања налога за приступ интернет страницама, порталима и апликацијама НИС-а, приликом постављања упита, приликом улагања жалби или приговора, слање захтева и сличних активности које се одвијају електронским путем. Подаци о личности који се у ове сврхе обрађују могу да укључују, али нису ограничени на: име, презиме, јединствен матични број, број идентификационог документа, адреса, број телефона, и адреса електронске поште.
- Информације садржане у евиденцијама о комуникацијама и препискама у ситуацијама успостављања контакта од стране Корисника, Заинтересованих и других физичких лица – записи о писаној и електронској комуникацији.
- Податке о личности запослених и ангажованих лица у НИС-у , у складу са потребама у вези са радним односном и остваривања уговорних права и обавеза – ближе дефинисани релевантним законским одредбама, интерним политикама и другим актима НИС-а.
- Податке лица прикупљене у сврхе спровођења контроле приступа објектима НИС-а.
- Информације које се прикупљају ради испуњења правних обавеза.
- Ово подразумева податке о личности које је НИС у обавези да прикупља, чува и обрађује у складу са важећим законима Републике Србије и доставља надлежним државним телима (судови, истражни органи и сл.).
- Остале информације које се прикупљају ради реализације одређеног легитимног интереса НИС-а.
- Када се подаци о личности обрађују на основу легитимног интереса, НИС са посебном пажњом узима у обзир утицај обраде на права и слободе лица на које се подаци односе. Легитимни интереси НИС нису претпостављени интересима лица на које се подаци односе. У случају да су у односу на легитимни интерес НИС-а претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице, НИС неће вршити обраду, изузев уколико не добије изричити пристанак лица на које се подаци односе, односно пристанак родитеља који врши родитељско право односно другог законског заступника малолетног лица у складу са релевантном регулативом.
НИС не обрађује посебне врсте података о личности. Изузетно, НИС може обрађивати ове врсте података једино, уколико је лице на које се подаци односе дало свој изричити пристанак у складу са Законом, уколико је таква обрада неопходна за извршење законских обавеза НИС-а, уколико је у својству заштите животно важних интереса лица на које се подаци односе, уколико су подаци очигледно јавно доступни, уколико се обрада врши у циљу реализације правног захтева, у циљу остваривања јавног интереса који је дефинисан законом. Или је обрада неопходна у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања и у статистичке сврхе у складу са условима предвиђеним Законом.
5. На које начине прикупљамо податке о личности?
НИС прикупља податке о личности на следеће начине:
- директно од Корисника, Заинтересованих лица – непосредним достављањем од стране Корисника и/или Заинтересованог лица (као на пример приликом подношења захтева за услугу на продајним местима)
- директно од запослених – приликом закључивања уговорног односа и током трајања радног односа
- из јавно доступних извора – као што су, на пример, подаци из јавно доступних сервиса
- разменом са повезаним лицима НИС – као што су НИС Петрол СЛР и НИС Петрол ЕООД
од других руковаоца, а по основу одговарајућег уговорног односа – у ситуацијама када други руковалац повери одређену радњу обраде података о личности НИС, а по основу претходно закљученог уговора, НИС у својству обрађивача може обрађивати све оне податке о личности које су НИС, поверене на обраду од стране другог руковаоца.
Предуслов за свако прикупљање података о личности је постојање одговарајућег правног основа у складу са Законом.
6. Рокови чувања података о личности
Подаци о личности чувају се само онолико дуго колико је потребно за остваривање сврхе обраде, осим ако важећим прописима није за поједину сврху предвиђено дуже или краће време чувања или у другим случајевима изричито прописаним законом. Након тога, подаци се трајно бришу или анонимизују. У случају обраде података о личности после истека рока чувања (на пример формирање базе историјских података за потребе израде статистичких анализа) НИС податке о личности (трајно) анонимизује на начин на који није могуће идентификовати физичко лице на које се подаци о личности односе.
7. По ком правном основу обрађујемо податке о личности?
НИС обрађује податке о личности лица на које се подаци односе само онда када је таква обрада законита. Обрада је законита у следећим случајевима:
- обрада је неопходна за извршавање уговора закљученог са лицем на које се подаци односе или како би се предузеле радње на захтев лица на које се подаци односе пре закључења уговора.
- обрада је неопходна ради поштовања законских обавеза НИС-а (важећи законски прописи према којима је НИС дужан да поступа)
- обрада је неопходна у циљу остваривања легитимних интереса НИС-а или треће стране, осим када су од тих интереса јачи интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно
- лице на које се подаци односе дало је пристанак за обраду својих података о личности у једну или више посебно одређених сврха, при чему тај пристанак мора бити доказив и добровољан (слободно дат), написан лако разумљивим језиком а лице на које се подаци односе има право да у сваком тренутку свој пристанак опозове
- обрада је неопходна у циљу животно важних интереса лица на које се подаци односе или другог физичког лица
- обрада је неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења НИС-а.
8. Мере које НИС спроводи током обраде
У циљу поштовања основних начела обраде података о личности, НИС спроводи одговарајуће мере заштите, у складу са Законом. У наставку наводимо неке од мера заштите које НИС спроводи:
- организовање обуке о раду са подацима о личности у организационим јединицама НИС-а;
- раздвајање података о личности обрађених без употребе средстава аутоматизације од информација обрађених на аутоматизован начин;
- одвојено чување података о личности чија обраде се врши у различите сврхе и када се ради о различитим категоријама података о личности;
- забрана преноса података о личности путем отворених комуникационих канала, рачунарских мрежа која нису под контролом НИС-а и преко интернета (с изузетком јавно доступних и/или анонимизованих података) без примене енкрипције;
- примењује одговарајуће, техничке, организационе и кадровске мере, као што је псеудонимизација, а којима се постиже циљ обезбеђивања делотворне заштите података о личности;
- предузима правне, организационе и техничке мере за заштиту података о личности од неовлашћеног или случајног приступа, уништавања, модификације, спречавања приступа, копирања, трансфера, објављивања, као и других нелегалних радњи у вези са подацима о личности, а све у складу са конкретном проценом ризика за сваку обраду појединачно;
- спровођење процене интегрисане и подразумеване заштите података о личности приликом сваког увођења новог производа, услуге, активности, процеса и процедуре.
9. Аутоматизовано доношење одлука
НИС у оквиру свог пословања, може доносити одлуке које производе правне последице по лице чији се подаци обрађују или којима се значајно утиче на положај лица чији се подаци обрађују, на основу аутоматизоване обраде података, укључујући и профилисање, а таква обрада се спроводи у складу са:
- важећим законима;
- извршењем уговорних обавеза;
- изричитим пристанком лица на које се подаци односе;
- легитимним интересима НИС-а.
Лице на које се подаци односе има право да се на њега не примењује одлука донета искључиво на основу аутоматизоване обраде, укључујући и профилисање, ако се том одлуком производе правне последице по то лице или та одлука значајно утиче на његов положај, осим ако је та одлука:
- неопходна за закључење или извршење уговора између лица на које се подаци односе и руковаоца;
- заснована на закону, ако су тим законом прописане одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе;
- заснована на изричитом пристанку лица на које се подаци односе.
10. Ко има приступ подацима о личности и коме се шаљу?
Приступ подацима о личности имају само запослени НИС-а, као и радно ангажована лица у складу са пословима које обављају, на основу одговарајућих овлашћења одређених од стране НИС и само у оној мери у којој је то нужно, уз обавезу поступања у складу са нормативним актима НИС-а којима је уређена област заштите података о личности.
Подаци о личности доступни су трећим лицима изван НИС-а само у следећим случајевима:
- ако постоји законска обавеза или изричито овлаш
ење на основу закона (нпр. захтев суда);
- ако је за обављање појединих послова ангажовано треће лице, односно обрађивач, при чему тај обрађивач делује искључиво у складу и по налогу НИС, а НИС осигурава све мере заштите података као да ове послове обавља самостално;
- повезаним друштвима НИС-а под условом да за такав пренос или приступ постоји правни основ
ако је податке потребно проследити ради извршења уговора које је НИС закључио са другим правним лицима; - осталим лицима изван НИС-а за које постоји изричити пристанак лица на које се подаци односе.
Подаци о личности шаљу се повезаним лицима НИ-аС која имају седиште у другим државама, али само под условом да су те државе потписне Конвенције Савета Европе о заштити лица у односу на аутоматску обраду или да на други начин гарантују примерену заштиту прописану законским одредбама за случај слања података о личности у иностранство.
11. Која права имају лица на које се подаци односе?
Корисници, Заинтересована лица, запослена и ангажована и остала лица на које се подаци о личности односе, могу остварити следећа права:
а) Право на приступ подацима о личности
Подносилац захтева за остваривање овог права има право на добијање информације о постојању обраде података о личности који се односе на њега, о сврси обраде, о врсти података о личности који се обрађују, примаоцима или категоријама прималаца којима су подаци о личности откривени или ће им бити откривени, а посебно примаоцима у другим државама и међународним организацијама, о предвиђеним роковима чувања, или ако то није могуће, о критеријумима за одређивање рока чувања, о постојању права да се захтева исправка или брисање података о личности, односно права на ограничење обраде и права на приговор на обраду, о постојању права да се поднесе притужба Поверенику, доступне информације о извору података о личности, ако подаци о личности нису прикупљени од лица на које се односе, о постојању поступка аутоматизованог доношења одлуке, укључујући профилисање, и, најмање у тим случајевима, сврсисходне информације о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.
Ако се подаци о личности преносе у другу државу или међународну организацију, лице на које се односе има право да буде информисано о одговарајућим мерама заштите које се односе на пренос у складу са Законом.
НИС је дужан да лицу на које се подаци односе на његов захтев достави копију података које обрађује.
Ако се захтев за копију доставља електронским путем, информације се достављају у уобичајено коришћеном електронском облику, осим ако је лице на које се подаци односе захтевало другачије достављање.
Остваривање права и слобода других лица не може се угрозити остваривањем права на достављање копије.
б) Право на исправку и допуну података о личности
НИС је дужан да лицу на које се подаци односе омогући остваривање права на исправку, при чему ће НИС предузети без непотребног одлагања активности у циљу исправке нетачних података лица на које се подаци односе. Узимајући у обзир сврху обраде, лице чији се подаци обрађују има и могућност да допуни своје непотпуне податке о личности, што укључује и давање додатне изјаве.
ц) Право на ограничење обраде
НИС је дужан да лицу на које се подаци односе омогући да оствари право да се обрада његових података о личности ограничи од стране НИС ако је испуњен један од следећих случајева:
- лице на које се подаци односе оспорава тачност података о личности, у року који омогућава НИС проверу тачности података о личности;
- обрада је незаконита, а лице на које се подаци односе се противи брисању података о личности и уместо брисања захтева ограничење употребе података;
- НИС више нису потребни подаци о личности за остваривање сврхе обраде, али их је лице на које се подаци односе затражило у циљу подношења, остваривања или одбране правног захтева;
- лице на које се подаци односе је поднело приговор на обраду, а у току је процењивање да ли правни основ за обраду од стране НИС претеже над интересима тог лица.
Ако је обрада ограничена у складу са захтевом лица на које се подаци односе, ти подаци могу се даље обрађивати само на основу пристанка лица на које се подаци односе, осим ако се ради о њиховом похрањивању или у циљу подношења, остваривања или одбране правног захтева или због заштите права других физичких, односно правних лица или због остваривања значајних јавних интереса.
НИС је дужан да информише лице на које се подаци односе о престанку ограничења, пре него што ограничење престане да важи.
д) Право на приговор
Лица на које се подаци односе има право да у сваком тренутку поднесе приговор НИС-у на законитост обраде његових података о личности које су установљене на основу одговарајућих правних основа за обраду (обрада је неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења НИС-а; обрада је неопходна у циљу остваривања легитимних интереса руковаоца или треће стране).
НИС ће по пријему приговора ограничити обраду података из тачке ц) изнад, а након завршене процене основаности приговора, прекинути са обрадом података о лицу које је поднело приговор, осим ако предочи да постоје законски разлози за обраду који претежу над интересима, правима или слободама лица на који се подаци односе или су у вези са подношењем, остваривањем или одбраном правног захтева.
Лице на које се подаци односе има право да у сваком тренутку поднесе приговор на обраду својих података о личности који се обрађују за потребе директног оглашавања, укључујући и профилисање, у мери у којој је оно повезано са директним оглашавањем.
Ако лице на које се подаци односе поднесе приговор на обраду за потребе директног оглашавања, подаци о личности не могу се даље обрађивати у такве сврхе.
е) Право на брисање („право на заборав“)
Лице на које се подаци односе има право да се његови подаци о личности избришу од стране НИС-а. НИС је дужан да без непотребног одлагања избрише податке о личности у следећим случајевима:
- подаци о личности више нису неопходни за остваривање сврхе због које су прикупљени или на други начин обрађивани;
- лице на које се подаци односе је опозвало пристанак на основу којег се обрада вршила, а нема другог правног основа за обраду;
- лице на које се подаци односе уложило је приговор на обраду у складу са Законом, а нема другог правног основа за обраду који претеже над легитимним интересом, правом или слободом лица на које се подаци односе
- подаци о личности су незаконито обрађивани
- подаци о личности морају бити избрисани у циљу извршења законских обавеза НИС-а
- прикупљени су подаци малолетног лица у вези са коришћењем услуга информационог друштва
ф) Право лица на преносивост података
НИС је дужан да омогући лицу на које се подаци односе да своје податке о личности које је претходно доставило НИС-у прими од истог у структурисаном, уобичајено коришћеном и електронски читљивом облику и има право да ове податке пренесе другом руковаоцу без ометања од стране НИС-а коме су ти подаци били достављени, ако су заједно испуњени следећи услови:
- обрада је заснована на пристанку лица на које се подаци односе за обраду његових (посебних) података о личности за једну или више посебно одређених сврха или на основу уговора; и
- обрада се врши аутоматизовано.
Право лица на које се подаци односе обухвата и право да његови подаци о личности буду непосредно пренети другом руковаоцу од стране НИС-а којем су ови подаци претходно достављени, ако је то технички изводљиво.
НИС поступањем по захтеву лица на које се подаци односе за остваривање права на преносивост података не може штетно утицати на остваривање права и слобода других лица.
12. Начин остваривања права лица на које се подаци односе
Лица на која се подаци о личности односе, могу остварити своја права попуњавањем захтева на следећем линку.
Лице чији се подаци обрађују може поднети захтев у писаном или електронском облику, на званичну поштанску адресу НИС-а или на званичну адресу електронске поште организационог дела НИС надлежног за управљање заштитом података о личности, Сектор за заштиту информација, fkz@nis.rs.
Запослени НИС-а ће утврдити идентитет подносиоца захтева увидом у лични документ. НИС је дужан да по захтеву поступи најкасније у року од 30 календарских дана од дана пријема комплетног захтева. Рок може бити продужен за још 60 дана, само уколико је захтев сложен или постоји велики број захтева. НИС је дужан да о продужењу рока и разлозима за то продужење обавести заинтересовано лице у року од 30 дана од дана пријема захтева.
Уколико НИС не поступи по захтеву подносиоца, мора да обавести подносиоца о разлозима за непостојање, без одлагања, а најкасније у року од 30 календарских дана од пријема захтева. Уз обавештење о непостојању, НИС мора да обавести подносиоца и о праву подношења притужбе Поверенику, односно тужбе суду ради остваривања својих права.
13. Подношење притужбе Поверенику за информације од јавног значаја и заштиту података о личности
Надзорно тело за заштиту података о личности у Републици Србији је Повереник за информације од јавног значаја и заштиту података о личности, Булевар краља Александра 15, Београд (у овом тексту: Повереник).
Лице на која се подаци о личности односе има право да поднесе притужбу Поверенику ако сматра да је обрада података о његовој личности од стране НИС-а извршена супротно одредбама Закона.
Подношење притужбе Поверенику не утиче на право овог лица да покрене друге поступке управне или судске заштите.
14. Управљање заштитом података о личности у НИС-у
У НИС је оформљен Сектор за заштиту информација чија је улога да информише и даје мишљења о законским обавезама НИС-а и правних лица које врше улогу обрађивача за НИС у вези са заштитом података о личности, прати примену одредби Закона и интерних прописа НИС-а, а које се тичу обраде података о личности, даје мишљења о процени утицаја на заштиту података о личности и прати поступање сходно процени, представља контакт тачку за сарадњу са Повереником и саветује се са њим у вези питања која се тичу обраде података о личности.
Сектору за заштиту информација можете упутити сва додатна питања која се односе на обраду Ваших података о личности, као и питања у вези са остваривањем Ваших права на електронску адресу: fkz@nis.rs.