SRBIJA

PRAVILA PRIVATNOSTI

Stupa na snagu: maj 2018.

U društvu Samsung Electronics Austria GmbH, u Beogradu i našim povezanim društvima („Samsung“, „mi“, „nas“, „naš“) znamo koliko je privatnost važna našim zaposlenima, dobavljačima, klijentima i svima drugima s kojima sarađujemo, pa se trudimo da budemo jasni u vezi sa tim kako prikupljamo, koristimo, skladištimo, prenosimo i uništavamo lične podatke.

U nastavku slede glavna pitanja koja su obuhvaćena našim Pravilima o privatnosti.

  1. Područje primene i svrha
  2. Odgovornost za usklađenost
  3. Definicije
  4. Načela Opšteg zakona o zaštiti podataka
  5. Posebne kategorije ličnih podataka
  6. Deljenje ličnih podataka (uključujući prenos podataka izvan EGP-a)
  7. Izrada profila i automatsko donošenje odluka
  8. Direktni marketing
  9. Prava ispitanika
  10. Povreda ličnih podataka
  11. Ažuriranje Pravila
  12. Korisni podaci za kontakt

 

  1. Područje primene i svrha

Ovim dokumentom utvrđuju se pravila zaštite podataka i zakonski uslovi koje je potrebno ispuniti, a koji se odnose na dobijanje, postupanje, obradu, skladištenje, prenos i uništavanje ličnih podataka.

Vrste podatka koje ćemo možda obrađivati uključuju detalje o sadašnjim, prošlim i potencijalnim budućim članovima osoblja, dobavljačima, klijentima i svima onima s kojima komuniciramo.  Podaci koji se čuvaju na papiru, računaru ili nekom drugom mediju podležu pravnim zaštitnim merama utvrđenima u Opštom zakonu o zaštiti podataka („GDPR“) i merodavnom pravu za zaštitu podataka kojima se nameću ograničenja načina na koje smemo koristiti spomenute podatke.

Održavanje najviših standarda u našem postupanju s ličnim podacima kolektivna je i individualna odgovornost te se ova Pravila primenjuju na načine dobijanja, korišćenja, skladištenja, brisanja i drugih oblika obrade ličnih podataka sa kojima se susrećemo u našem poslovanju. Ona uključuju opširni sažetak glavnih obaveza zaštite podataka koja se primenjuju na nas kao organizaciju.

Ova Pravila o privatnosti primenjuju se na sve Samsungove zaposlene i druge pružaoce usluga Samsungu (uključujući, ali se ne ograničavajući na izvođače radova i agencijske radnike) (zajednički: „članovi osoblja“).  Svi članovi osoblja dužni su da razumeju i pridržavaju se ovih Pravila u pogledu bilo kakvih ličnih podataka kojima imaju pristup u svom radu.

Članovi osoblja takođe će biti dužni proći obuku u vezi sa ovim i sličnim pravilima na zahtev Samsunga.

 

  1. Odgovornost za usklađenost

Za nadgledanje sprovođenja zaštite podataka i poštovanja ovih Pravila odgovoran je službenik za zaštitu podataka čiji se podaci za kontakt nalaze na kraju ovih Pravila.

Osobe na rukovodećim pozicijama odgovorne su za to da članovi njihovih timova poštuju pravila zaštite podataka.

 

  1. 3. Definicije

Podaci iz kaznenih evidencija odnose se na kaznena dela koje je osoba počinila i optužbe koje su joj izrečene.

Vodje obrade su osobe ili organizacije koje određuju svrhu i način obrade ličnih podataka.  Njihova je dužnost da utvrde prakse i pravila koja će biti u skladu sa Opštim zakonom o zaštiti podataka.  Mi smo vodje obrade svih ličnih podataka koji se koriste u našem poslovanju. Naši dobavljači, savetnici i izvođači radova takođe mogu biti vodje obrade.

Ispitanici u smislu ovih Pravila podrazumevaju sve žive pojedince čijim ličnim podacima raspolažemo, uključujući sadašnje, prošle i potencijalne klijente, dobavljače, agente, ulagače te članove našeg osoblja.  Svi ispitanici imaju zakonska prava u pogledu svojih ličnih podataka.

Lični podaci su podaci koji se odnose na živog pojedinca čiji se identitet može utvrditi na temelju tih podataka (ili na temelju tih i drugih podataka koje posedujemo). Lični  podaci mogu biti činjenice (Na primer: ime, adresa ili datum rođenja) ili mišljenja (na primer procena radnog učinka).  Definicija ličnih podataka u Opštem zakonu o zaštiti podataka i merodavnom pravu za zaštitu podataka vrlo je široka, pa je u skladu sa time pod lične podatke moguće svrstati jako puno identifikatora.  Ovo uključuje ime, identifikacioni broj i podatke o lokaciji.

Obrada je bilo koji postupak koji uključuje upotrebu ličnih podataka.  Uključuje dobijanje, korištenje, pregled, pristup, beleženje ili posedovanje podataka ili obavljanje jedne radnje ili skupa radnji u vezi sa podacima, uključujući njihovu organizaciju, ispravljanje, pronalaženje, upotrebu, otkrivanje, brisanje ili uništavanje.  Obrada takođe podrazumeva prenos ličnih podataka trećim osobama.

Podaci posebnih kategorija (prethodno znani kao osetljivi lični podaci) uključuju podatke o rasnom ili etničkom poreklu osobe, njenim političkim mišljenjima, verskim ili sličnim uverenjima, članstvu u sindikatu, fizičkom ili mentalnom zdravlju ili stanju i polnom životu te genetske i biometrijske podatke u svrhu identifikacije pojedinca.
 

  1. Načela Opšteg zakona o zaštiti podataka

Svako ko vrši obradu podataka mora poštovati provodna načela dobre prakse utvrđena u Opštem zakonu o zaštiti podataka kojih će se Samsung pridržavati na sledeće načine:

  • Lične ćemo podatke obrađivati zakonito, pošteno i transparentno (videti pod „zakonitost, poštenost i transparentnost”).
  • Lične ćemo podatke prikupljati u posebne, izričite i zakonite svrhe te ih nećemo obrađivati na način koji nije u skladu sa tim svrhama (videti pod „ograničavanje svrhe i smanjenje količine podataka“).
  • Obrađivaćemo lične podatke koji su primereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (videti pod „ograničavanje svrhe i smanjenje količine podataka“).
  • Pobrinućemo se da lični podaci budu tačni i prema potrebi ažurni; ako su podaci netačni, preduzećemo svaku razumnu meru kako bi oni bili bez odlaganja izbrisani ili ispravljeni, uzimajući u obzir svrhe u koje se ti podaci obrađuju (videti pod „tačnost“).
  • Lične podatke ćemo čuvati u onom obliku koji omogućuje identifikaciju pojedinca na kojeg se oni odnose samo onoliko dugo koliko je potrebno u svrhe radi kojih se lični podaci obrađuju (videti pod „ograničenje skadištenja“).
  • Primenjivaćemo odgovarajuće tehničke ili organizacijske mere kojima se osigurava sigurnost ličnih podataka, uključujući zaštitu od neovlašćene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja (videti pod „celovitost i poverljivost”).

U nastavku slede dodatne informacije o svakom od ovih načela.

4.1. Zakonitost, poštenost i transparentnost

Cilj merodavnog prava o zaštiti ličnih podataka nije sprečiti obradu ličnih podataka, već osigurati da se to čini pošteno i bez negativnog učinka na prava ispitanika.

Obrada ličnih podataka zakonita je ako je ispunjen jedan od zakonskih uslova obrade.  Ovi zakonski uslovi uključuju sledeće: ispitanik je izričito i slobodno dao privolu za obradu; obrada je propisana zakonom; obrada je nužna za izvršavanje ugovora koji smo sklopili sa ispitanikom; obrada je nužna za potrebe zakonitih interesa Samsunga ili strane kojoj su podaci otkriveni (osim kada su od tih interesa jači interesi ili temeljna prava ili slobode pojedinca). Pre početka obrade ličnih podataka (primer, pre prikupljanja ličnih podataka od pojedinca) razmatramo razloge za prikupljanje podataka i zašto su nam oni potrebni.  Takođe utvrđujemo pravnu osnovu koja nam omogućuje zakonito dobijanje i obradu podataka.

Ispitaniku je, u skladu sa zakonom, potrebno dostaviti određene informacije, uključujući (ali ne se ograničavajući na) sledeće: ko je vodja obrade (u ovom slučaju to smo mi, Samsung Electronics Austria GmbH, Beograd, Novi Beograd, adresa Omladinskih brigada 90v, Republika Srbija); svrhe radi kojih ćemo obrađivati podatke, pravnu osnovu za obradu, identitet osoba kojima podaci mogu biti otkriveni ili preneseni i prava ispitanika u vezi s njihovim ličnim podacima.  Ove informacije moraju biti sadržane u odgovarajućoj obaveštenju o privatnosti podataka ili izjavi o poštenoj obradi podataka

4.2. Ograničavanje svrhe i smanjenje količine podataka

Lični podaci mogu se obrađivati samo radi određenih svrha o kojima je ispitanik bio obavešten prilikom prvog prikupljanja podataka ili u druge svrhe koje su izričito dopuštene merodavnim pravom o zaštiti podataka. To znači da se lični podaci ne smeju prikupljati u jedne, a koristiti u druge svrhe. Ako je potrebno promeniti svrhu radi koje se lični podaci obrađuju, ispitanik mora biti obavešten o novoj svrsi pre početka bilo kakve obrade.

4.3. Tačnost

Lični podaci moraju biti tačni i ažurni. Neispravni podaci ili podaci koji dovode u zabludu nisu tačni, pa je stoga potrebno preduzeti korake u svrhu provere tačnosti svih ličnih podataka u trenutku njihovog prikupljanja te nakon toga u redovnim vremenskim razmacima. Netačne ili neažurne podatke potrebno je uništiti. 

4.4. Ograničenje skladištenja

Lične podatke potrebno je čuvati u obliku koji ne omogućava identifikaciju pojedinca na kojeg se oni odnose samo onoliko dugo koliko je potrebno u svrhe radi kojih se lični podaci prikupljaju. To znači da je podatke potrebno uništiti ili izbrisati iz naše baze kad oni više nisu potrebni, a lične podatke potrebno je sakriti.

Nakon isteka perioda čuvanja, evidencija koja sadrži osobne podatke biće uklonjena na siguran način i uništena, osim u slučaju kada postoji opravdan poslovni razlog za njeno zadržavanje i nakon ovog perioda (primer, ispitanik je pokrenuo spor protiv nas i zadržani lični podaci relevantni su za taj spor).

4.5Celovitost i poverljivost

Dužni smo preduzeti odgovarajuće mere zaštite protiv nezakonite ili neovlašćene obrade ličnih podataka te protiv njihovog slučajnog gubitka ili oštećenja. Ispitanici mogu pred sudom da pokrenu postupak za dobijanje naknade za štetu nastalu usled gubitka ličnih podataka.

Očuvanje sigurnosti podataka podrazumijeva osiguravanje poverljivosti, celovitosti i dostupnosti ličnih podataka koje se definišu kako sledi:

  1. a)         Poverljivost znači da pristup ličnim podacima imaju samo one osobe koje su ovlašćene za njihovo korišćenje.
  2. b)         Celovitost znači da lični podaci moraju biti tačni i prikladni za svrhe u koje se obrađuju te pouzdani za svoj vek trajanja (odnosno, neovlašćene osobe ne smeju izmeniti te podatke).
  3. c)         Dostupnost znači da ovlašćeni korisnici imaju mogućnost pristupa podacima ako su im oni neophodni za odobrene svrhe. Stoga je lične podatke, umesto na pojedinim ličnim računarima, potrebno čuvati u našem centralnom računarskom sistemu.

Sigurnosni postupci uključuju:

  1. a)         Kontrole pri ulazu. Prijavljivanje neznanca u prostorijama sa kontrolisanim ulazom.
  2. b)         Sigurne stolove i ormare na zaključavanje. Zaključavanje stolova i ormara ako se u njima čuvaju poverljive informacije bilo koje vrste. (Lični podaci uvek se smatraju poverljivima).
  3. c)         Načine uništavanja. Papirne dokumente potrebno je izrezati. Diskove i kompaktne diskove samo za čitanje (CD-ROM) potrebno je fizički uništiti onda kada oni više nisu potrebni.
  4. d)         Opremu. Samsungovi članovi osoblja dužni su da osiguraju da poverljive informacije prolaznicima nisu vidljive na ekranima te da se odjave sa ličnog računara kad ga ostavljaju bez nadzora.

Samsung se pridržava svih postupaka i koristi sve raspoložive tehnologije kako bi se očuvala sigurnost svih ličnih podataka od trenutka njihovog prikupljanja pa sve do njihovog uništenja. U praksi to znači sledeće:

            Može se pristupiti samo onim ličnim podacima za koje postoji dopuštenje te samo u odobrene svrhe.

  1. b)         Nijednoj drugoj osobi (uključujući i druge Samsungove članove osoblja) ne sme se omogućiti pristup ličnim podacima, osim ako imaju odgovarajuće dopuštenje za to.
  2. c)         Lični podaci se štite primer poštovanjem pravila o pristupu prostorijama, pristupu računaru, zaštitom pomoću lozinke i enkripcijom, omogućavanjem sigurno skladištenje podataka i njihovog uništavanja, te drugim merama sigurnosti utvrđenim u Samsungovim pravilima o sigurnosti podataka.
  3. d)         Lične podatke (uključujući i lične podatke u spisima) ili uređaje koji sadrže lične podatke (ili uređaje koje je moguće upotrebiti kako bi se pristupilo ličnim podacima) ne iznosi se iz Samsungovih prostorija, osim ako su poduzete odgovarajuće mere sigurnosti (primer, pseudonomizacija, enkripcija ili zaštita lozinkom) radi zaštite podataka i uređaja.
  4. e)         Lične podatke se ne skladišti na lokalnom disku ili ličnom uređaju koji se upotrebljavaju u radne svrhe.
  5. Posebne kategorije ličnih podataka

Povremeno ćemo možda morati obrađivati posebne kategorije ličnih podataka.

Posebne kategorije lični podataka obrađivaćemo samo onda kada za to imamo pravnu osnovu (videti u Odeljku 5 ovih Pravila) i kada se primenjuje jedan od posebnih uslova za obradu podataka posebnih kategorija. Posebni uslovi uključuju, ali se ne ograničavaju na sledeće:

  1. a)          Ispitanik je dao izričitu dozvolu za obradu.
  2. b)         Obrada je nužna za potrebe ostvarivanja prava i izvršavanja obaveza Samsunga ili ispitanika u području radnog prava.
  3. c)         Obrada je nužna za zaštitu životno važnih interesa ispitanika, a ispitanik je fizički nesposoban dati pristanak.
  4. d)         Obrada se odnosi na podatke za koje je očigledno da ih je objavio ispitanik.
  5. e)         Obrada je nužna za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva.
  6. f)          Obrada je nužna za potrebe od značajnog javnog interesa.

Posebne kategorije osobnih podataka neće se obrađivati:

  1. a)         sve dok se ne obavi procena učinka prikupljanja i
  2. b)         dok se osobu na koju se odnose lični podaci na prikladan način ne obavesti (izjavom o zaštiti privatnosti ili na drugi način) o prirodi obrade, svrha radi kojih i pravne osnove na temelju koje se ona vrši.

 

  1. Deljenje ličnih podataka (uključujući prenos podataka izvan EEP-a)

Lični podaci mogu se prenositi samo trećoj strani kao pružatelju usluga koja pristaje pridržavati se potrebnih pravila i postupaka i ispunjavati sve relevantne ugovorne odredbe koje od nje zahtevamo te koja na zahtev pristaje na implementaciju odgovarajućih mera.

Lični podaci mogu se podeliti s drugim članom osoblja naše grupe (koja uključuje naša društva kćeri i naše nadređeno društvo skupa s njegovim društvima kćerima) samo ako su primatelju takvi podaci neophodni za potrebe posla, a prenos je u skladu s primenjivim ograničenjima prekograničnog prenosa (videti u nastavku).

Zakonodavstvo o zaštiti podataka ograničava prenos podataka u zemlje izvan Evropskog ekonomskog prostora („EEP”) kako se ne bi ugrozio traženi nivo zaštite podataka.  Lični podaci koji potiču iz jedne zemlje prenose se preko granice ako se dostavlja, šalje, vrši uvid u njih ili im se pristupa u nekoj drugoj zemlji.  Pre prekograničnog prenosa ličnih podataka proveriće se jesu li za to zadovoljeni svi potrebni uslovi.

 

  1. Izrada profila i automatsko donošenje odluka

Postoje značajna ograničenja u pogledu okolnosti u kojima je moguće doneti automatsku odluku o pojedincima (radi se o odluci koja se donosi isključivo automatski, bez ikakvog uplitanja čoveka).  Ovo vredi i za izradu profila (radi se o automatskoj obradi ličnih podataka za ocenu određenih aspekata u vezi s pojedincem, primer da bi li pojedincu bili zanimljivi određeni proizvodi).

Ova vrsta odlučivanja moguća je samo radi izvršavanja ugovora, onda kada je to dopušteno zakonom ili ako je pojedinac na to dao izričitu dozvolu.  Pojedinci imaju pravo na informacije o donošenju odluka te imaju određena prava o kojima moraju biti obavešteni, uključujući pravo na zahtevanje ljudske intervencije ili pravo na osporavanje odluke, a za ovu vrstu odlučivanja takođe postoje stroga ograničenja u vezi s korišćenjem posebnih kategorija ličnih podataka.

Svaka aktivnost izrade profila biće sprovedena potpuno u skladu s merodavnim zakonodavstvom.

  1. Direktni marketing

Postoje strogi zahtevi zaštite podataka u vezi s direktnim marketingom koji je usmeren na naše klijente te pritom sledimo sve smernice koje se odnose na nas.
 

  1. Prava ispitanika

Lični podaci  se obrađuju u skladu s pravima ispitanika.  Ispitanici imaju sledeća prava:

  1. a)         Ako su dali dozvolu na obradu, oni mogu u bilo kom trenutku povući tu dozvolu (ovo mora biti jednako jednostavno kao i njeno davanje).
  2. b)         Imaju pravo na jasne, transparentne i lako razumljive informacije o načinima upotrebe njihovih ličnih podataka (upravo zbog toga i pružamo izjavu o privatnosti podataka).
  3. c)         Imaju pravo da zatraže pristup svim podacima u posedu voditelja obrade koji se odnose na njih.
  4. d)         Imaju pravo da zatraže da se netačni podaci izmene i isprave.
  5. e)         Imaju pravo da zahtevaju brisanje podataka koji se odnose na njih a koji se nalaze u posedu voditelja obrade ako su za to ispunjeni određeni uslovi utvrđeni primenjivim pravom.
  6. f)          Imaju pravo da zahtevaju ograničavanje obrade u slučajevima kada su za to ispunjeni određeni uslovi utvrđeni primenjivim pravom. 
  7. g)         Imaju pravo da zahtevaju prenos podataka drugom vodji obrade ako su za to ispunjeni određeni uslovi utvrđeni primenjivim pravom.
  8. h)         Imaju pravo da ulože prigovor na obradu ličnih podataka ako su za to ispunjeni određeni uslovi utvrđeni primenjivim pravom o zaštiti podataka.
  9. i)          Imaju pravo da se na njih ne odnosi odluka koja se temelji isključivo na automatskoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se odnose na njih ili na sličan način značajno na njih utiče, osim ako su dali izričitu dozvolu za to ili ako je to neophodno za sklapanje ili izvršavanje ugovora sa njima.
  10. j)          Imaju pravo na žalbu Agenciji za zaštitu ličnih podataka u vezi sa našom obradom podataka (podaci za kontakt nalaze se u nastavku), iako bismo voleli podstaći ispitanika da se u slučaju bilo kakvih nedoumica najpre obrati nama kako bismo mi pokušali rešiti problem.

Ako ispitanik želi da ostvari neko od svojih prava, treba se obratiti Službi za zaštitu podataka. Možda će biti potrebno da poduzme odgovarajuće korake radi utvrđivanja identiteta osobe koja podnosi zahtev.

Službeni zahtev ispitanika (podnosioca zahteva) za pristup ličnim podacima koji se odnose na njega i koji se nalaze u posedu beogradskog ogranka Samsung Electronics Austria GmbH može se podneti u pisanom obliku putem obrasca u Prilogu 2 (obrazac Zahteva ispitanika za pristup ličnim podacima).  Međutim, zahtev ispitanika za pristup ličnim podacima ne mora nužno biti služben niti on mora biti podnet u pisanom obliku (pristup ličnim podacima moguće je zatražiti na društvenim mrežama ili telefonski).  Svaki član osoblja koji primi zahtev za pristup ličnim podacima (bez obzira na to je li on podnet na dostupnom obrascu ili ne) bez odlaganja će proslediti zahtev službeniku za zaštitu podataka i/ili pravnoj službi i službi za praćenje usklađenosti. 

Službenik za zaštitu podataka će, osim u izuzetnim slučajevima, odgovoriti na zahtev u roku od 30 dana od njegova prijema. Ako Samsung ne može da pruži zatražene lične podatke, razlozi za to biće potpuno dokumentovani te će ispitanik biti obavešten o njima u pisanom obliku.  Ispitaniku će takođe biti dostavljeni podaci o nadležnom nadzornom telu kojem je moguće podneti žalbu, u skladu sa zahtevima merodavnog prava o zaštiti podataka.

 

  1. Povreda ličnih podataka

Povreda ličnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa ličnim podacima koji su preneseni, uskladišteni ili na drugi način obrađivani.  Povreda ne mora nužno da podrazumeva otkrivanje ličnih podataka spoljnjem izvoru bez potrebnog dopuštenja, ali može da znači da je neko iznutra pristupio tim podacima bez potrebnog dopuštenja.

Neke oblike povrede dužni smo da prijavimo nadležnom regulatornom telu, a u ograničenom broju slučajeva i samim ispitanicima.

O povredi ličnih podataka ili sumnji na povredu bez odlaganja ćemo obavestiti Službu za sigurnost evropskog sedišta Samsunga, službenika za zaštitu podataka Samsung Electronics Austria GmbH Beograd (Novi Beograd)  i/ili pravnu službu i službu za praćenje usklađenosti kako bi oni mogli preduzeti neophodne mere ili po potrebi proslediti slučaj dalje.
 

  1. Ažuriranje Pravila

Odeljak za ljudske resurse, pravna služba i služba za praćenje usklađenosti zaduženi su za održavanje, redovan pregled i ažuriranje ovih Pravila.  O ažuriranju i izmenama ovih Pravila bićete obavešteni putem oglasne table i/ili elektroničkom poštom.

 

  1. Korisni podaci za kontakt

U vezi sa zaštitom podataka možete se obratiti na sledeću adresu:

Samsung Electronics Austria GmbH, Beograd (Novi Beograd)

Omladinskih brigada 90v, Novi Beograd, Republika Srbija

Adresa e-pošte: Obratite nam se na dataprotection.sead@samsung.com

Ako smatrate da naša obrada vaših ličnih podataka nije u skladu s merodavnim pravom, možete podneti pritužbu Agenciji za zaštitu ličnih podataka.