Politika privatnosti

PRAVILA O ZAŠTITI PODATAKA O LIČNOSTI
VESCON DOO BEOGRAD(STARI GRAD)

Pravni osnov za donošenje ovih Pravila o zaštiti podataka o ličnosti (u daljem tekstu: „Pravila“) je Zakon o zaštiti podataka o ličnosti („Službeni glasnik“ br. 87/2018, u daljem tekstu: „ZZPL“).

Ovim Pravilima uređuje se obavezujuć način postupanja za podacima o ličnosti fizičkih lica koja prilikom
obavljanja svoje delatnosti – pružanja usluga povezanih sa digitalnom imovinom, u smislu Zakona o digitalnoj imovini („Službeni glasnik“ br. 153/2020, u daljem tekstu: „ZDI“) i Zakona o sprečavanju pranja novca i finansiranja terorizma („Službeni glasnik“ br. 113/2017, 91/2019,153/2020 , 92/2023, 94/2024 i 19/2025, u daljem tekstu: „ZSPNFT“) prikuplja i obrađuje rukovalac VESCON DOO BEOGRAD(STARI GRAD).

Rukovalac u okviru svog poslovanja obrađuje podatke o ličnosti različitih kategorija fizičkih lica, uključujući korisnike, zaposlene i druga lica koja dolaze u kontakt sa Rukovaocem. Obrada se može vršiti, između ostalog, putem sistema video-nadzora u poslovnim prostorijama, kao i prilikom posete i korišćenja veb-sajta i mobilne aplikacije Rukovaoca, kao i savremenih kanala komunikacije, uključujući društvene mreže, kako je detaljnije opisano u nastavku.

  1. Definicija pojmova

    1.1. Za potrebe ovih Pravila pojedini izrazi imaju sledeće značenje:

    „Rukovalac“ je VESCON DOO BEOGRAD(STARI GRAD), MB: 21281565, PIB: 109993864, sa sedištem na adresi Carice Milice 2/3/1, 11 000 Stari grad.
    „Podatak o ličnosti” je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv,
    neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj,
    podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više
    obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog
    identiteta;

    „Obrada podataka o ličnosti” je svaka radnja ili skup radnji koje se vrše automatizovano ili
    neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje,
    razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: „Obrada“);

    „Profilisanje” je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo
    ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja.

    Biometrijski podatak” je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci;

    1.2. Svi ostali izrazi koji nisu izričito definisani ovim delom, a koji se pominju u Pravilima, imaju isto značenje kao u ZZPL. U slučaju razlike u značenju izraza definisanih ovom Politikom i ZZPL, prednost imaju definicije date u ZZPL.

  2. Principi obrade podataka o ličnosti Rukovaoca

    2.1. Rukovalac podatke obrađuje zakonito, pošteno i transparentno u svrhe koje su konkretno određene, izričite, opravdane i zakonite, na način koji je primeren, bitan i ograničen u odnosu na ono što je neophodno u odnosu na svrhu obrade.

    2.2. Podaci koji se prikupljaju moraju biti tačni i redovno ažurirani, na zahtev lica na koje se podaci odnose dopunjeni i ispravljeni, a kada to imperativne zakonske odredbe dopuštaju i izbrisani.

    2.3. Prilikom prikupljanja, obrade i čuvanja podataka, u skladu sa ovim Pravilima, mora se obezbediti
    odgovarajuća organizaciona, kadrovska i tehnička zaštita.

  3. Svrha obrade podataka o ličnosti

    3.1. Rukovalac koristi podatke o ličnosti u sledeće svrhe:
  • u cilju poštovanja pravnih obaveza u meri u kojoj je to propisano (u vezi sa zaposlenima i drugim
    licima čiji se podaci obrađuju u obimu propisanom zakonom);
  • pripremanje, zaključivanje i ispunjenje ugovora (vezano za kandidate za zapošljavanje, korisnike usluga itd.);
  • u cilju fizičke zaštite poslovne imovine i prostora, kao i obezbeđivanja sigurnog okruženja za
    zaposlene, uz poštovanje osnovnih prava i sloboda lica čiji se podaci obrađuju (video-nadzor,
    identifikacija i sl.);
  • radi ostvarivanja komunikacije sa licem čiji se podaci obrađuju, po njegovom zahtevu (pitanja, zahtevi
    i odgovori u vezi sa licem koje komunicira sa Rukovaocem, neposredno, putem elektronske pošte,
    telefona i sl.);
  • analizu podataka (npr. profilisanje lica koja koriste veb-sajt Rukovaoca ili stranice Rukovaoca na
    društvenim mrežama);
  • u cilju poboljšanja aktivnosti i poslovanja Rukovaoca, na osnovu povratnih informacija korisnika (u
    vezi sa licima čiji se podaci obrađuju, osim zaposlenih i kandidata za zapošljavanje);
  • Slanje informacija o aktivnostima Rukovaoca i novim ponudama (Newsletter i drugi slični promotivni
    materijali za korisnike, pretplatnike biltena i druga lica koja za ovu svrhu pružaju informisani
    pristanak).

4. Pravni osnov za prikupljanje podataka

4.1. Svi podaci koje Rukovalac prikuplja imaju svoj osnov u zakonu, informisanom pristanku ili legitimnom
poslovnom interesu Rukovaoca.

4.2. Obrada prikupljenih podataka u skladu sa ovim Pravilnima uglavnom je neophodna za izvršenje ugovora i ispunjenje pravnih obaveza Rukovaoca, a u manjem delu za ostvarivanje legitimnih poslovnih interesa Rukovaoca, kao što su reklamne aktivnosti i bezbednost.

4.3. U zavisnosti od svrhe za koju se podaci prikupljaju i kategorije lica na koje se podaci odnose obrada
podataka o ličnosti vrši se na osnovu:

  • informisanog pristanka lica čiji se podaci obrađuju (član 12 stav 1 tačka 1 ZZPL), uz prethodno obaveštenje lica čiji se podaci obrađuju o svim bitnim aspektima obrade. Pristanak lica čiji se podaci
    obrađuju je dobrovoljan, izričit, informisan i nedvosmislen i može se povući u bilo kom trenutku.
    Povlačenje dovodi do prekida bilo koje dalje radnje obrade, s tim da se obrada podataka izvršena pre povlačenja saglasnosti smatra zakonitom;
  • poštovanja pravnih obaveza Rukovaoca (član 12 stav 1 tačka 3 ZZPL). Rukovalac kao pružalac usluga
    povezanih s digitalnom imovinom dužan je da se pridržava propisa koji regulišu ovu vrstu delatnosti.
    Rukovalac obrađuje podatke o ličnosti u tu svrhu, isključivo u obimu potrebnom za ispunjenje tih
    obaveza, pod uslovom da preduzme sve neophodne mere kako bi pristup podacima o ličnosti bio
    omogućen samo ovlašćenim licima i državnim organima;
  • izvršenja ugovora, tj. za preduzimanje radnji pre zaključenja ugovora (član 12 stav 1 tačka 2 ZZPL),
    samo u obimu neophodnom za tu svrhu;
  • zaštite legitimnog interesa Rukovaoca ili legitimnog interesa trećih lica (član 12 stav 1 tačka 6 ZZPL)
    Rukovalac, samo izuzetno, obrađuje podatke o ličnosti radi ostvarivanja legitimnog interesa kao što
    je fizička zaštita poslovne imovine, poslovnog prostora i čuvanja sigurnog okruženja za zaposlene, na
    način da su zaštićena osnovna prava lica čiji se podaci obrađuju (video nadzor, identifikacija itd.).
      1. Podaci koji se prikupljaju i obrađuju

        5.1. Rukovalac prikuplja i obrađuje podatke o ličnosti svojih korisnika, zaposlenih i drugih fizičkih lica, u skladu sa ZZPL i drugim važećim propisima.

        5.2. Lični podaci korisnika prikupljaju se prilikom registracije i verifikacije korisničkog naloga i prilikom posete i korišćenja veb-sajta i mobilne aplikacije Rukovaoca. U postupku registracije i verifikacije korisničkog naloga, Rukovalac od korisnika prikuplja sledeće podatke o ličnosti, sve u smislu člana 12. (stav 1. tačka 3) ZZPLU:

        1) adresa elektronske pošte;
        2) ime i prezime;
        3) datum i mesto rođenja;
        4) broj mobilnog telefona;
        5) prebivalište ili boravište;
        6) JMBG fizičkog lica,
        7) vrstu i broj ličnog dokumenta, naziv izdavaoca, datum i mesto izdavanja dokumenta;
        8) svrhu i namenu poslovnog odnosa;
        9) IP adresu;
        10) informaciju o delatnostima i poslovnim aktivnostima stranke;
        11) podatke i informacije o poreklu imovine;
        12) izjava da li je korisnik funkcioner, član uže porodice funkcionera ili bliski saradnik funkcionera; ime i prezime, datum i mesto rođenja, prebivalište ili boravište i JMBG funkcionera koji uspostavlja poslovni odnos ili vrši transakciju, odnosno za koga se uspostavlja poslovni odnos ili vrši transakcija, kao i vrstu i broj ličnog dokumenta, naziv izdavaoca, datum i mesto izdavanja; podatke o tome da li je fizičko lice funkcioner koji obavlja ili je u poslednje četiri godine obavljalo visoku javnu funkciju u državi, odnosno drugoj državi ili međunarodnoj organizaciji, da li je član porodice funkcionera ili njegov bliski saradnik; podatke o periodu obavljanja te funkcije; podatke o vrsti javne funkcije koju funkcioner obavlja ili je obavljao u poslednje četiri godine; podatke o porodičnom odnosu, ako je stranka član uže porodice funkcionera; podatke o vrsti poslovne saradnje, ako je stranka bliski saradnik funkcionera;
        13) ime, prezime, datum i mesto rođenja i prebivalište ili boravište stvarnog vlasnika korisnika;
        14) video snimak korisnika i lica koja su u njegovoj pratnji, kojim se beleži biometrijski podatak – slika lica, prilikom posete korisnika poslovnici Rukovaoca;
        15) audio snimak glasa korisnika prilikom pozivanja korisničkog servisa putem telefona, kojim se beleži biometrijski podatak – glas lica;
        16) biometrijske podatke o korisniku sa ličnog dokumenta: fotografiju, kao i otisak prsta i/ili potpis – pribavljanjem kopije ličnog dokumenta u skladu sa ZSPNFT i pratećim podzakonskim aktima;
        17) uz izričit pristanak korisnika koji se snima, biometrijski podaci – slika i glas lica, obrađuju se u svrhu jedinstvene identifikacije korisnika, i to u prilikom video-identifikacije putem audio-video zapisa;
        18) adresa/e digitalne imovine.

        5.3. Od zaposlenih, odnosno drugih radno angažovanih lica, prikupljaju se i obrađuju podaci o ličnosti propisani važećim propisima iz oblasti radnog prava, uključujući naročito Zakon o radu, Zakon o evidencijama u oblasti rada i Zakon o obaveznom socijalnom osiguranju, kao i, kada je to primenljivo, propisima koji uređuju poslovanje pružalaca usluga povezanih sa digitalnom imovinom. Ova obrada neophodna je radi ispunjenja pravnih obaveza Rukovaoca, u smislu člana 12. stav 1. tačka 3) ZZPL.

        5.4. Od kandidata za zaposlenje prikupljaju se i obrađuju podaci o ličnosti sadržani u biografiji (CV), kao što su ime i prezime, fotografija, kao i kontakt podaci (broj telefona i adresa elektronske pošte). Ova obrada vrši se na osnovu informisanog pristanka lica čiji se podaci obrađuju, u smislu člana 12. stav 1. tačka 1) ZZPL, ili na zahtev tog lica u cilju preduzimanja radnji pre zaključenja ugovora o radu, u smislu člana 12. stav 1. tačka 2) ZZPL.

        5.5. Od lica koja komuniciraju ili stupaju u kontakt sa Rukovaocem prikupljaju se i obrađuju podaci o ličnosti, kao što su ime i prezime, adresa elektronske pošte, kao i drugi podaci koje lica čiji se podaci obrađuju dobrovoljno dostave Rukovaocu. Pravni osnov za ovu obradu podataka o ličnosti je informisani pristanak lica čiji se podaci obrađuju, u smislu člana 12. stav 1. tačka 1) ZZPL.

        5.6. Kolačići koji se prikupljaju putem veb-sajta Rukovaoca i mobilne aplikacije detaljno su uređeni Politikom o kolačićima. Obrada podataka putem kolačića vrši se na osnovu saglasnosti korisnika, koja se pribavlja na jasan, transparentan, nesugestivan i nedvosmislen način.
      1. Lica koja imaju pristup podacima

        6.1. Pravilnikom o sistematizaciji i unutrašnjoj organizaciji radnih mesta kod Rukovaoca regulisana je
        unutrašnja organizacija rada, obim ovlašćenja i odgovornosti zaposlenih na određenim pozicijama. Pristup podacima o ličnosti korisnika i drugih fizičkih lica imaju isključivo zaposleni kod Rukovaoca koji su, u skladu sa svojim radnim zadacima, ovlašćeni i obučeni za obradu podataka o ličnosti, i to samo u obimu neophodnom za ostvarivanje svrha obrade. U tom smislu, pristup podacima o ličnosti mogu imati zaposleni angažovani u sledećim organizacionim celinama Rukovaoca: (i) Sektor za razvoj poslovanja; (ii) Pravni sektor; (iii) Sektor za marketing i odnose sa javnošću; (iv) Trejding sektor; (v) Sektor za sprečavanje pranja novca i finansiranja terorizma; (vi) Sektor za IKS; (vii) Sektor za korisničku podršku; i (viii) Knjigovodstveno-računovodstveni sektor.

        6.2. Zaposleni iz gore navedenih sektora obrađuju podatke o ličnosti isključivo u skladu sa internim aktima Rukovaoca, principom potrebe pristupa (need-to-know), kao i uz primenu odgovarajućih tehničkih i organizacionih mera zaštite podataka.

        6.3. Eksterno angažovana pravna i/ili fizička lica: (i) ugovorni partneri Rukovaoca, (ii) lica koja pružaju usluge fizičkog obezbeđenja, (iii) lica koja izrađuju softver za obradu podataka o ličnosti (BLINK.ING DOO BEOGRAD, PIB: 110297552 ; MB: 21332755), (iv) lica koja održavaju informacione sisteme Rukovaoca, (v) specijalizovana – hosting pravna lica koja omogućavaju da internet prezentacija bude vidljiva na internetu, mogu imati ograničen pristup podacima o ličnosti, ali samo u meri u kojoj je taj pristup nužno potreban za izvršenje usluge. U odgovarajućim ugovorima o poslovnom angažovanju tih lica, Rukovalac je u obavezi da ih upozna sa svojim obavezama u skladu sa ZZPL i ovim Pravilima.

        6.4. Neka od gore navedenih lica koja mogu imati pristup podacima o ličnosti spadaju u kategoriju obrađivača. Rukovalac ima zaključene ugovore sa svim obrađivačima podataka o ličnosti u cilju poštovanja ZZPL. Rukovalac ostaje odgovoran za sve radnje obrade podataka koje su poverene obrađivačima.

        6.5. Većinu radnji obrade podataka sprovode obrađivači koji svoje poslovne aktivnosti obavljaju na lokacijama u Republici Srbiji. Međutim, neke od radnji obrade podataka mogu pružiti i obrađivači koji su inkorporirani i aktivni u EU ili trećim zemljama.

        6.6. Transfer u takve zemlje se obavlja:
      • Na osnovu odluke o adekvatnosti za zemlje EU/EEA zemlje u skladu sa članom 64 ZZPL. Prekogranični transfer u ove zemlje je slobodan (bez prethodnog odobrenja Poverenika) u skladu sa
        članom 64 stav 2 ZZPL;
      • Na osnovu adekvatnih garancija u skladu sa članom 65 stav 2 tačka 2 ZZPL, tj. na osnovu sporazuma (Ugovori o prenosu podataka o ličnosti) koji uključuje standardne klauzule o zaštiti podataka koje donosi Poverenik.

        6.7. Podaci o ličnosti mogu se podeliti sa državnim organima, bankama i drugim finansijskim institucijama ako je to neophodno za ispunjenje zakonskih obaveza Rukovaoca, pod uslovom da je korišćenje podataka o ličnosti ograničeno na minimum potreban za ispunjavanje konkretnih zakonskih zahteva.
      1. Pristanak

        7.1. Pristanak korisnika na prikupljanje i obradu podataka o ličnosti daje se ili u obliku pismene izjave koja je praćena predstavljanjem korisnikovih prava i obaveza, u razumljivom i lako dostupnom obliku i uz upotrebu jasnih i jednostavnih reči. Rukovalac je naročito u obavezi da korisniku jasno predoči
        uskraćivanje kojih podataka ima za posledicu uskraćivanje pružanja usluge.

        7.2. Korisnik ima pravo da opozove svoj pristanak u svakom trenutku, s tim da opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva.

        7.3. Pre davanja pristanka, lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.

        7.4. Pravila koja se odnose na opoziv ne odnose se na podatke koje je Rukovalac u obavezi da u skladu sa posebnim zakonima imperativnog karaktera prikuplja, obrađuje i čuva u vremenskom periodu i na način koji je propisan tim zakonima.

      2. Čuvanje podataka

        8.1. Na osnovu člana 84 ZDI Rukovalac je dužan da vodi u elektronskom obliku i čuva najmanje deset godina podatke koji se odnose na sve transakcije s digitalnom imovinom koje je izvršio, za sopstveni račun ili u ime i za račun korisnika digitalne imovine, a ako su transakcije izvršene u ime i za račun korisnika, ova evidencija sadrži sve podatke u vezi sa identitetom tog korisnika, kao i podatke propisane zakonom kojim se uređuje sprečavanje pranja novca i finansiranja terorizma.

        8.2. Podaci koji su prikupljeni na internet stranici i u aplikaciji Rukovaoca, korišćenjem „kolačića“, čuvaju se onoliko koliko je propisano važećom Politikom korišćenja kolačića u trenutku prikupljanja podataka.

      3. Nadležni organi i pravna lica kojima se dostavljaju podaci

        9.1. Rukovalac, kao imalac dozvole za pružanje usluga povezanih sa digitalnom imovinom, osim ZDI,
        obveznik je ZSPNFT, kao i svih podzakonskih propisa koji su na osnovu njih doneti. Primena ovih propisa, podrazumeva kontinuirani regulatorni nadzor Uprave za sprečavanje pranja novca, Komisije za hartije od vrednosti i Narodne banka Srbije, što uključuje periodičnu razmenu podataka o korisnicima, koji su prikupljeni u skladu sa zakonom i ovim Pravilima.

        9.2. Dodatno, Rukovalac je dužan da postupa po zahtevima nadležnih organa (organi uprave, tužilaštvo i sud) i dostavlja podatke koji su traženi u skladu sa zakonom, a u cilju otkrivanja učinilaca kaznenih dela.

        9.3. U pružanju svojih usluga, Rukovalac sarađuje sa poslovnim bankama kod kojih u ime i za račun korisnika drži sredstva na zbirnim i namenskim računima, koji su neophodni radi realizacije pojedinih usluga, kojima takođe dostavlja podatke u skladu sa zakonom i obavezama preuzetim ugovorom sa bankama, u skladu sa zakonom.

        9.4. Radi izbegavanja svake sumnje, iako u poslovnom prostoru Rukovaoca postoji kontinuiran video nadzor, kojim se prikupljaju biometrijski podaci korisnika i zaposlenih kompanija koja je pružila rukovaocu uslugu instalacije video nadzora, Manicom CcTv doo Beograd, nema pristup podacima o ličnosti, niti tehničku mogućnost da je ostvari, imajući u vidu da su zaposleni kod Rukovaoca izvršili povezivanje kamera na „storage“ i stavljanje pristupnih šifri.

      4. Lice zaduženo za zaštitu podataka o ličnosti

        10.1. U sklopu implementacije standarda zaštite podatka o ličnosti koje propisuje ZZPL, Rukovalac je odredilo lice za zaštitu podataka o ličnosti, kojem se Lica mogu obratiti u vezi sa pitanjima koji se odnose na zaštitu podataka o ličnosti, kao i u vezi sa ostvarivanjem prava propisanih ZZPL, na jedan od sledećih načina:

        – slanjem imejla na adresu: [email protected],
        – slanjem pismena na adresu sedišta Rukovaoca: Carice Milice 2/3/1, 11102 Stari grad, sa naznakom „za Lice za zaštitu podataka o ličnosti“,
        – predajom pismena na adresi sedišta Rukovaoca: Carice Milice br. 2/3/1, 11102 Beograd (Stari grad), sa naznakom „za Lice za zaštitu podataka o ličnosti“;.

        10.2. Rukovalac je dužan da blagovremeno i na odgovarajući način uključi lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti i da mu obezbedi neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje.

        10.3. Rukovalac je dužan da obezbedi nezavisnost lica za zaštitu podataka o ličnosti u izvršavanju njegovih obaveza.

        10.4. Rukovalac ili obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza propisanih ovim Pravilima.

        10.5. Korisnici se mogu obratiti licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koja se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih prava propisanih ovim zakonom.

        10.6. Lice za zaštitu podataka o ličnosti dužno je da čuva tajnost, odnosno poverljivost podataka do kojih je došlo u izvršavanju svojih obaveza.

        10.7. Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:

        1) informiše i daje mišljenje Rukovaocu, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
        2) prati primenu odredbi ovog zakona, drugih zakona i internih propisa Rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
        3) daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni;
        4) sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu;

        10.8. U izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.

      5. Pravo na pristup

        11.1. Korisnik ima pravo da od Rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:

        1) svrsi obrade;
        2) vrstama podataka o ličnosti koji se obrađuju;
        3) primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;
        4) predviđenom roku čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za određivanje tog roka;
        5) postojanju prava da se od Rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, prava na ograničenje obrade i prava na prigovor na obradu;
        6) pravu da se podnese pritužba Povereniku;
        7) dostupne informacije o izvoru podataka o ličnosti, ako podaci o ličnosti nisu prikupljeni od korisnika;
        8) postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje i svrsishodne
        informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po
        lice na koje se podaci odnose.

        11.2. Rukovalac je dužan da korisniku na njegov zahtev dostavi kopiju podataka koje obrađuje.

        11.3. Ako se zahtev za kopiju dostavlja elektronskim putem, informacije se dostavljaju u uobičajeno korišćenom elektronskom obliku, osim ako je korisnik zahtevao drugačije dostavljanje.

        11.4. Pravo na pristup može se ograničiti, u celini ili delimično, samo u onoj meri i u onom trajanju u kome je takvo delimično ili potpuno ograničenje neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa korisnika, kako bi se:

        1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
        2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
        3) zaštitila javna bezbednost;
        4) zaštitila nacionalna bezbednost i odbrana;
        5) zaštitila prava i slobode drugih lica.

        11.5. Rukovalac je dužan da pismeno obavesti korisnika da je pristup njegovim podacima o ličnosti odbijen ili ograničen, kao i o razlozima za odbijanje ili ograničenje, bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana.

        11.6. Rukovalac nije dužan da postupi u skladu sa prethodnim stavom ako bi se time dovelo u pitanje ostvarivanje svrhe zbog koje je pristup odbijen ili ograničen.

        11.7. U slučaju iz prethodnog stava, kao i u slučaju ako se u postupku po zahtevu za pristup podacima utvrdi da se podaci o ličnosti korisnika ne obrađuju, Rukovalac ima obavezu da bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana, pismeno obavesti podnosioca zahteva da je proverom utvrđeno da ne postoje podaci o ličnosti u vezi kojih se mogu ostvariti prava predviđena zakonom, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.

      6. Ispravka ili brisanje podataka o ličnosti

        12.1. Korisnik ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.

        12.2. Korisnik ima pravo i da se njegovi podaci o ličnosti izbrišu od strane Rukovaoca.

        12.3. Rukovalac je dužan da bez nepotrebnog odlaganja izbriše podatke u sledećim slučajevima:

        1) podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
        2) korisnik je opozvao pristanak na osnovu kojeg se obrada vršila, a nema drugog pravnog osnova za obradu;
        3) podaci o ličnosti su nezakonito obrađivani;
        4) podaci o ličnosti moraju biti izbrisani u cilju izvršenja zakonskih obaveza Rukovaoca;
        5) Ako je Rukovalac javno objavio podatke o ličnosti, njegova obaveza da izbriše podatke obuhvata i
        preduzimanje svih razumnih mera, uključujući i tehničke mere, u skladu sa dostupnim tehnologijama
        i mogućnostima snošenja troškova njihove upotrebe, u cilju obaveštavanja drugih Rukovaoca koji te
        podatke obrađuju da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih
        podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.

      7. Brisanje korisničkog naloga

        13.1. Možete da izbrišete korisnički nalog bilo kada. Brisanjem korisničkog naloga ne raskida se ugovorni odnos koji je uspostavljen radi pružanja usluga povezanih s digitalnom imovinom.

        13.2. Ukoliko želite da izbrišete svoj nalog, možete na internet stranici i u aplikaciji Rukovaoca kliknuti na dugme „Obriši nalog“ i pratiti dalje instrukcije ili nam možete poslati zahtev za brisanje (sa imejl adrese sa kojom ste registrovani) i mi ćemo Vam, po prijemu zahteva, u najkraćem roku poslati obaveštenje o brisanju Korisničkog naloga. Vaš nalog može biti izbrisan isključivo ukoliko je stanje na Vašem korisničkom nalogu jednako nuli.

      8. Pravo na ograničenje obrade

        14.1. Korisnik ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane Rukovaoca ako je ispunjen jedan od sledećih slučajeva:

        1) korisnik osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti
        podataka o ličnosti;
        2) obrada je nezakonita, a korisnik se protivi brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka;
        3) rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je korisnik zahtažio u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;

      9. Mere zaštite koje primenjuje Rukovalac

        15.1. Uzimajući u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica koji proizilaze iz obrade, Rukovalac je prilikom određivanja načina obrade, kao i u toku obrade, dužan da:

        1) primeni odgovarajuće tehničke, organizacione i kadrovske mere, kao što je pseudonimizacija, koje
        imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao što je smanjenje broja podataka;
        2) obezbedi primenu neophodnih mehanizama zaštite u toku obrade, kako bi se ispunili uslovi za obradu propisani ovim zakonom i zaštitila prava i slobode lica na koja se podaci odnose.

        15.2. Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade.

        15.3. U skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom,
        okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, Rukovalac sprovodi odgovarajuće tehničke, organizacione i kadrovske mere kako bi se dostigao odgovarajući nivo bezbednosti u odnosu na rizik.

        15.4. Prema potrebi, te mere naročito obuhvataju:

        1) pseudonimizaciju i kriptozaštitu podataka o ličnosti;
        2) sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
        3) obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;
        4) postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.

        15.5. Prilikom procenjivanja odgovarajućeg nivoa bezbednosti posebno se uzimaju u obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani na drugi način.

        15.6. Na osnovu procene rizika, Rukovalac je dužan da prilikom automatske obrade primeni odgovarajuće mere koje obezbeđuju da se:

        1) onemogući neovlašćenom licu pristup opremi koja se koristi za obradu („kontrola pristupa opremi”);
        2) spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka („kontrola nosača podataka”);
        3) spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti („kontrola pohranjivanja”);
        4) spreči korišćenje sistema za automatsku obradu od strane neovlašćenog lica, upotrebom opreme za prenos podataka („kontrola upotrebe”);
        5) osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima („kontrola pristupa podacima”);
        6) može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti, mogu biti preneti ili učinjeni dostupnim, upotrebom opreme za prenos podataka („kontrola prenosa”);
        7) može naknadno proveriti, odnosno utvrditi koji su podaci o ličnosti uneti u sistem automatske obrade, od strane kog lica i kada su uneti („kontrola unosa”);
        8) spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa ili u toku prevoza nosača podataka („kontrola prevoza”);
        9) ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada („obnavljanje sistema”);
        10) osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju („pouzdanost”), kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema („integritet”).

        15.7. Konkretno, mere zaštite podataka o ličnosti koje Rukovalac VESCON DOO BEOGRAD primenjuje su ograničenje pristupa kopiji baze, osiguranje bezbednosti baze aganata korisničkog servisa, efikasno upravljanje pravima pristupa, bezbednost na mrežnom nivou, kao i delotvorna zaštita od pretnji i nadgledanje.

        15.8. Ograničenje pristupa kopiji baze. Server na kome će se nalaziti kopija baze je smešten u server sobi, u skladu sa planiranim merama za upravljanje bezbednošću IKT sistema. Pristup ovom serveru je omogućen samo osobama zaduženim za administraciju i bezbednost IKT sistema, a podaci će se čuvati najmanje 10 godina; fizički pristup serveru je osiguran autentifikacijom putem kartice; svaki ulazak u server sobu je nadgledan IP kamerom, a pristup snimcima sa kamere imaju samo osobe zadužene za administraciju i bezbednost IKT sistema.

        15.9. Bezbednost baza agenata korisničkog servisa osigurana je tako što na je endpoint uređajima Rukovaoca instalirana antivirus/antimalware zaštita. Dodatno, zaposleni na svojim računarima nemaju administratorske privilegije, a štampanje dokumenata je ograničeno.

        15.10. Upravljanje pravima pristupa. Bezbedna autentifikacija korisnika na Cloud servis obavljaće se putem cloud naloga korisnika SSO autentifikacije. Cloud poseduje dnevnike događaja o svim aktivnostima korisnika na sistemu, a na svim aplikacijama biće obavezno korišćenje multifaktorske autentifikacije. U zavisnosti od poslovnih procesa i informacija koje se smeštaju u Cloud, administratorski pristup Cloud resursima će biti ograničen samo na uređaje u vlasništvu Rukovaoca. Pristup Cloud resursima i informacijama u vlasništvu Rukovaoca biće strogo kontrolisan i ograničen na minimum. Korisnicima IKT sistema se dodeljuju se najmanje neophodne privilegije za rad.

        15.11. Bezbednost na mrežnom nivou. Informacije koje se nalaze u Cloud-u štite se prilikom prenosa i pristupa korišćenjem bezbednih kanala komunikacije sa Cloud servisima koji su zaštićeni enkripcijom (https, TLS…).

        15.12. Zaštita od pretnji i nadgledanje. Cloud servis ima implementirane odgovarajuće sisteme zaštite od malicioznog koda, sisteme za prevenciju upada na resurse sa informacijama Rukovaoca i web aplikativne fajervole. Takođe, implementirana je standardna zaštita od DDoS-a sa konfigurisanom mitigacijom na bazi predefinisanih limita za svaki pojedinačni servis koji može biti pogođen DDoS napadom. Provajder Cloud usluga prati ranjivosti platforme i blagovremeno obaveštava VESCON d.o.o. o novotkrivenim ranjivostima na svim nivoima i komponentama sistema i bezbednosnim ispravkama (pečevima) ili drugim merama za smanjenje rizika. Aktivnosti privilegovanih naloga na Cloud servisu beleže se u dnevnicima događaja i preuzimaju se na Sistem za upravljanje logovima, a pružalac Cloud usluga pristup podacima koji su vlasništvo Rukovaoca može da ostvari samo na osnovu odobrenja direktora. Dodatno, poverljive informacije se čuvaju u enkriptovanom obliku.

      10. Obaveštavanje Poverenika o povredi podataka o ličnosti

        16.1. Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu.

        16.2. Ako Rukovalac ne postupi u roku od 72 časa od saznanja za povredu, dužan je da obrazloži razloge zbog kojih nije postupio u tom roku.

        16.3. Obaveštenje mora da sadrži najmanje sledeće informacije:

        1) opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koja se
        podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena;
        2) ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se
        mogu dobiti podaci o povredi;
        3) opis mogućih posledica povrede;
        4) opis mera koje je Rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom,
        uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.

        16.4. Ako se sve informacije ne mogu dostaviti istovremeno, Rukovalac bez nepotrebnog odlaganja postupno dostavlja dostupne informacije.

        16.5. Rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.

      11. Obaveštavanje korisnika o povredi bezbednosti podataka o ličnosti

        17.1. Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, Rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose.

        17.2. U obaveštenju iz stava 1. ovog člana Rukovalac je dužan da na jasan i razumljiv način opiše prirodu povrede podataka. Rukovalac nije dužan da obavesti korisnika ako:

        1) je preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke o ličnosti čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima;
        2) je naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice;
        3) bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava. U tom slučaju, Rukovalac je dužan da na delotvoran način obezbedi pružanje obaveštenja licu na koje se podaci odnose.

      12. Shodna primena ZZPL.

        18.1. Na sve što nije drugačije propisano ovim Pravilima, shodno se primenjuje ZZPL.

        U Beogradu, dana 13. januara 2026. godine

        U ime i za račun Rukovaoca
        Radoje Marić, direktor