INFORMACIJE O PRIKUPLJANJU I OBRADI PODATAKA O LIČNOSTI
UVODNE INFORMACIJE
Ovim dokumentom privredno društvo Spring Tech d.o.o. Beograd (Zemun), sa sedištem na adresi Cara Dušana 212, 11080 Beograd, e-mail: info@springtech.rs, tel: +381 060 703 81 13, kao rukovalac podacima o ličnosti, pruža licima čiji se podaci o ličnosti prikupljaju i obrađuju informacije propisane članom 23. i 24. Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018, u daljem tekstu: Zakon).
Spring Tech d.o.o. razvija i održava softversko rešenje eID Tech, koje omogućava krajnjim korisnicima autentifikaciju na portalu eUprava (eid.gov.rs) i elektronsko preuzimanje parametara za aktivaciju mobilne aplikacije ConsentID, koje izdaje Kancelarija za informacione tehnologije i elektronsku upravu.
Rešenje eID Tech koristi se posredstvom ovlašćenih zaposlenih 3Bank A.D. Novi Sad, u okviru pružanja digitalnih finansijskih usluga kreditiranja pravnih lica i preduzetnika.
1 KONTAKT PODACI LICA ZA ZAŠTITU PODATAKA O LIČNOSTI
U vezi sa obradom i zaštitom Vaših podataka o ličnosti, kao i ostvarivanjem Vaših prava zagarantovanih Zakonom, možete se obratiti licu za zaštitu podataka o ličnosti:
E-mail: dpo@springtech.rs
Telefon: +381 060 703 81 13
Poštom na adresu: Spring Tech d.o.o., Cara Dušana 212, 11080 Beograd (Zemun), sa naznakom: „Lice za zaštitu podataka o ličnosti“
2 KATEGORIJE PODATAKA O LIČNOSTI KOJE SE OBRAĐUJU
U zavisnosti od svrhe obrade, Spring Tech obrađuje sledeće kategorije podataka o ličnosti:
| R.br. | Kategorija | Podaci | Izvor |
|---|---|---|---|
| 1. | Identifikacioni podaci | JMBG (jedinstveni matični broj građana), ime i prezime (iz digitalnog sertifikata - Subject CN), broj lične karte, datum važenja, organ izdavanja | Kvalifikovani elektronski sertifikat sa čipa lične karte |
| 2. | Podaci o sertifikatu | Kvalifikovani elektronski sertifikat (X.509) | Čip elektronske lične karte |
| 3. | Kontakt podaci | E-mail adresa, broj telefona | Unos ovlašćenog zaposlenog banke |
| 4. | Podaci o privrednom subjektu | Matični broj privrednog subjekta (MB) | Unos ovlašćenog zaposlenog banke |
| 5. | PIN lične karte | Četvorocifreni PIN za autentifikaciju na čipu kartice | Unos korisnika |
| 6. | Parametri za aktivaciju ConsentID | ID korisnika, registracioni kod, QR kod | Portal eUprava (eid.gov.rs) |
| 7. | Tehnički podaci | IP adresa, identifikator sesije, vremenski žigovi pristupa | Automatski - uređaj/pregledač korisnika |
| 8. | Revizioni zapisi (audit logovi) | Zapisi o radnjama u sistemu koji mogu sadržati maskirane identifikatore (ne sadrže osetljive podatke u čistom obliku) | Automatski - sistem |
3 SVRHA NAMERAVANE OBRADE I PRAVNI OSNOV ZA OBRADU PODATAKA
Podaci o ličnosti obrađuju se u sledeće svrhe:
| R.br. | Svrha obrade | Pravni osnov (Zakon) |
|---|---|---|
| 1. | Autentifikacija korisnika na portalu eUprava i elektronsko preuzimanje parametara za aktivaciju mobilne aplikacije ConsentID, koje izdaje Kancelarija za informacione tehnologije i elektronsku upravu | Član 12. stav 1. tačka 1) - pristanak lica na koje se podaci odnose |
| 2. | Čitanje kvalifikovanog elektronskog sertifikata sa čipa lične karte i prijava na portal eUprava | Član 12. stav 1. tačka 1) - pristanak |
| 3. | Slanje e-mail obaveštenja u vezi sa postupkom verifikacije (link za prihvatanje politike privatnosti, obaveštenje o statusu zahteva) | Član 12. stav 1. tačka 1) - pristanak |
| 4. | Čuvanje evidencije o izvršenim verifikacijama radi dokazivosti, revizije i ispunjenja zakonskih obaveza | Član 12. stav 1. tačka 3) - zakonska obaveza (čl. 47. i 50. Zakona) |
| 5. | Zaštita od zloupotrebe sistema (ograničenje pristupa, blokiranje zlonamernih IP adresa) | Član 12. stav 1. tačka 6) - legitimni interes rukovaoca |
4 INFORMACIJE O POSTOJANJU LEGITIMNOG INTERESA
Legitimni interes rukovaoca postoji u slučaju obrade podataka u svrhu zaštite bezbednosti informacionog sistema, sprečavanja zloupotreba i prevarnih radnji, kao i obezbeđivanja nesmetanog funkcionisanja sistema eID Tech. Ova obrada uključuje zaštitu od prekomerne upotrebe, blokiranje zlonamernih IP adresa (uz ručno deblokiranje od strane ovlašćenog administratora) i geografsku restrikciju pristupa na teritoriju Republike Srbije.
Legitimni interes rukovaoca je u svakom konkretnom slučaju odmeren u odnosu na prava i slobode lica na koje se podaci odnose, u skladu sa članom 12. stav 1. tačka 6) Zakona.
5 PRIMAOCI PODATAKA O LIČNOSTI
Podatke o ličnosti Spring Tech može dostaviti ili staviti na uvid sledećim primaocima:
| Primalac | Vrsta podataka | Osnov / svrha |
|---|---|---|
| Portal eUprava (eid.gov.rs) - Kancelarija za informacione tehnologije i elektronsku upravu | Digitalni sertifikat, JMBG (automatski iz sertifikata) | Elektronska prijava radi autentifikacije i preuzimanja parametara za aktivaciju ConsentID |
| Krajnji korisnik (klijent banke - lice na koje se podaci odnose) | ID korisnika, registracioni kod, QR kod za aktivaciju ConsentID | Prikaz preuzetih parametara putem zaštićenog linka u ograničenom vremenskom periodu |
| Lettermint (lettermint.co) - podobrađivač za slanje e-pošte | E-mail adresa | Dostava obaveštenja o postupku verifikacije. Sadržaj e-pošte sadrži isključivo link - osetljivi podaci se ne prenose putem poruka. Lettermint automatski briše sve podatke u roku od 28 dana. |
| Državni organi | Podaci u skladu sa zahtevom organa | Na zahtev nadležnih organa, u cilju ispunjavanja zakonskih obaveza ili zaštite prava rukovaoca |
Podaci o ličnosti se ne prodaju, ne iznajmljuju niti otkrivaju trećim licima van gore navedenih primalaca.
6 IZNOŠENJE PODATAKA U DRUGE DRŽAVE ILI MEĐUNARODNE ORGANIZACIJE
Podaci o ličnosti obrađuju se i čuvaju na serverima koji se nalaze na teritoriji Republike Srbije, u bezbednom data centru sa fizičkim i tehničkim merama zaštite.
Iznošenje podataka u drugu državu vrši se isključivo u meri u kojoj je to neophodno za funkcionisanje usluge:
- Lettermint (podobrađivač za slanje e-pošte) - sedište van teritorije Republike Srbije. Podaci koji se prenose ograničeni su na e-mail adresu korisnika i link (bez osetljivih podataka).
Prenos se vrši uz primenu odgovarajućih mera zaštite u skladu sa članom 65. Zakona, uključujući enkripciju komunikacije (TLS/HTTPS). Lettermint automatski briše sve podatke u roku od 28 dana.
Podaci koji se šalju portalu eUprava prenose se u okviru zakonskog okvira Republike Srbije za elektronsku upravu i identifikaciju i ne predstavljaju iznošenje u drugu državu.
Osim navedenog, podaci o ličnosti se ne iznose u druge države niti međunarodne organizacije.
7 ROK ČUVANJA PODATAKA O LIČNOSTI
Spring Tech podatke o ličnosti čuva u skladu sa sledećim rokovima:
| Podatak | Rok čuvanja |
|---|---|
| PIN lične karte | Briše se odmah nakon korišćenja (u roku od nekoliko sekundi) |
| Digitalni sertifikati (privremeno instalirani u sistemsko skladište) | Automatski se uklanjaju nakon svakog ishoda postupka: uspešna ili neuspešna prijava na eUprava, odobrenje ili odbijanje zahteva, pogrešan PIN, istek sesije od 15 minuta ili bilo koja druga greška. Ni u jednom scenariju sertifikati ne ostaju instalirani na sistemu. |
| QR kod, ID korisnika, registracioni kod | Brišu se automatski po isteku tajmera prikaza (najduže 120 sekundi) |
| JMBG | Koristi se isključivo tokom sesije prijave na eUprava i ne čuva se trajno |
| Sesijski podaci (tokeni, sesije verifikacije) | Ističu automatski u roku koji ne prelazi 60 minuta od kreiranja |
| IP adresa (za zaštitu od zloupotrebe) | 10 godina - u slučaju blokade, deblokiranje se vrši isključivo ručno od strane ovlašćenog administratora |
| MB, e-mail adresa, broj telefona, identifikator zahteva | 10 godina od dana obrade - u svrhu dokazivosti i revizije izvršenih verifikacija, u skladu sa zakonskim obavezama |
| Revizioni zapisi (audit logovi) | 10 godina - u skladu sa zakonskim obavezama čuvanja evidencije o obradi |
Po isteku navedenih rokova, podaci se automatski i nepovratno brišu. Podatke koji se obrađuju isključivo na osnovu pristanka, Spring Tech će obrađivati i čuvati dok se ne ostvari svrha obrade, odnosno do opoziva pristanka.
8 PRAVA LICA ČIJI SE PODACI OBRAĐUJU
U skladu sa Zakonom, imate sledeća prava u vezi sa obradom Vaših podataka o ličnosti:
- Pravo na informisanost - pravo da budete informisani o obradi Vaših podataka (čl. 23. i 24.)
- Pravo na pristup - pravo da zahtevate informaciju o tome da li se obrađuju Vaši podaci i pristup tim podacima (član 26.)
- Pravo na ispravku - pravo da se Vaši netačni podaci isprave, odnosno da se nepotpuni podaci dopune (član 29.)
- Pravo na brisanje - pravo da zahtevate brisanje Vaših podataka kada više nisu neophodni za svrhu obrade (član 30.)
- Pravo na ograničenje obrade - pravo da zahtevate ograničenje obrade u slučajevima predviđenim Zakonom (član 31.)
- Pravo na prenosivost podataka - pravo da primate podatke u strukturisanom, uobičajenom i elektronski čitljivom obliku (član 36.)
- Pravo na prigovor - pravo da u svakom trenutku uložite prigovor na obradu zasnovanu na legitimnom interesu (član 37.)
- Pravo na opoziv pristanka - pravo da u svakom trenutku opozovete dati pristanak, bez posledica po Vas (član 15. st. 3. i 4.)
Prethodno navedena prava možete ostvariti u skladu sa uslovima i situacijama navedenim u Zakonu, podnošenjem zahteva putem e-mail adrese dpo@springtech.rs, poštom na adresu sedišta rukovaoca ili telefonom na broj +381 060 703 81 13.
Odgovor na Vaš zahtev dostavićemo u roku od 30 dana od dana prijema zahteva (član 21. stav 3. Zakona).
Ukoliko smatrate da je obrada Vaših podataka o ličnosti izvršena suprotno odredbama Zakona, imate pravo da podnesete pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, u pisanom obliku, neposredno ili putem pošte (Bulevar kralja Aleksandra 15, 11000 Beograd, tel: +381 11 3408 900, e-mail: office@poverenik.rs, veb-sajt: www.poverenik.rs).
9 PRAVO NA PRIGOVOR
Pravo na prigovor imate u slučaju obrade podataka o ličnosti koja se vrši na osnovu legitimnog interesa rukovaoca (član 37. Zakona). Prigovor možete podneti u pisanoj formi putem e-mail adrese dpo@springtech.rs ili poštom na adresu sedišta rukovaoca.
U slučaju podnošenja prigovora, Spring Tech će preispitati osnovanost obrade i obustaviti je ukoliko ne postoje zakonski razlozi koji pretežu nad Vašim interesima, pravima i slobodama.
10 OBAVEZNOST DAVANJA PODATAKA O LIČNOSTI
Davanje podataka o ličnosti je dobrovoljno i zasnovano na Vašem pristanku. Međutim, bez davanja potrebnih podataka (e-mail adresa, PIN lične karte) nije moguće sprovesti postupak autentifikacije na portalu eUprava i preuzimanje parametara za aktivaciju ConsentID.
Nedavanje pristanka, ili opoziv već datog pristanka, ne povlači nikakve negativne posledice po Vas, osim nemogućnosti korišćenja konkretne usluge elektronskog izdavanja ConsentID parametara putem sistema eID Tech.
11 POSLEDICE U SLUČAJU NEDAVANJA PODATAKA
U slučaju da ne dostavite podatke neophodne za sprovođenje postupka verifikacije (e-mail adresu, PIN lične karte) ili ne prihvatite Politiku privatnosti, Spring Tech neće biti u mogućnosti da izvrši autentifikaciju na portalu eUprava i preuzme parametre za aktivaciju ConsentID u Vaše ime.
Nedavanje podataka nema nikakve druge pravne ili faktičke posledice po Vas.
12 OBAVEŠTENJE O AUTOMATIZOVANOM DONOŠENJU ODLUKA
Spring Tech ne vrši automatizovano donošenje odluka niti profilisanje u smislu člana 38. Zakona.
U cilju zaštite interesa podnosioca zahteva za preuzimanje parametara za ConsentID aplikaciju i sprečavanja potencijalnih zloupotreba, 3 Bank A.D. Novi Sad zadržava pravo da verifikuje ispravnost postupka radnji koje sprovodi zaposleni Banke prilikom iniciranja izdavanja parametara u smislu provere verodostojnosti podataka o podnosiocu zahteva.
Spring Tech će podatke o ličnosti podnosioca zahteva za preuzimanje parametara za ConsentID aplikaciju dostavljati 3 Bank A.D. Novi Sad. O svim bitnim elementima obrade podataka o ličnosti od strane 3 Bank A.D. Novi Sad podnosilac zahteva može se informisati putem sledećeg LINK-a.
13 OPOZIV PRISTANKA
Ukoliko se obrada Vaših podataka zasniva na pristanku, imate pravo da opozovete pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva (član 15. stav 4. Zakona).
Ukoliko je pristanak opozvan pre nego što je ostvarena svrha obrade, nećete moći da koristite uslugu elektronskog izdavanja ConsentID parametara putem sistema eID Tech za tu konkretnu sesiju.
Opoziv pristanka možete izvršiti slanjem zahteva na e-mail adresu dpo@springtech.rs ili poštom na adresu sedišta rukovaoca.
14 IZVOR PODATAKA O LIČNOSTI
Podaci o ličnosti prikupljaju se iz sledećih izvora:
- Direktno od lica na koje se podaci odnose: PIN lične karte (unos korisnika), prihvatanje Politike privatnosti
- Sa elektronske lične karte: kvalifikovani elektronski sertifikat, JMBG, ime i prezime (čitanje sa čipa kartice putem čitača pametnih kartica)
- Od ovlašćenog zaposlenog banke: e-mail adresa, broj telefona, matični broj privrednog subjekta (MB)
- Sa portala eUprava: parametri za aktivaciju ConsentID (ID korisnika, registracioni kod, QR kod)
- Automatski: IP adresa, identifikator sesije, vremenski žigovi (iz uređaja/pregledača korisnika)
15 MERE ZAŠTITE PODATAKA O LIČNOSTI
U skladu sa članom 50. Zakona, Spring Tech primenjuje sledeće mere zaštite podataka o ličnosti:
- Svi osetljivi podaci šifruju se industrijskim standardom enkripcije pre pohranjivanja u bazu podataka
- Tokeni u URL adresama dodatno su šifrovani - stvarni identifikatori nikada nisu vidljivi u adresnoj traci pregledača
- Komunikacija sa serverom zaštićena je TLS/HTTPS protokolom
- Sesije verifikacije su vremenski ograničene i vezane za uređaj i mrežu korisnika
- Pristup linkovima za verifikaciju ograničen je isključivo na IP adrese sa teritorije Republike Srbije
- Sistem primenjuje automatsku zaštitu od prekomerne upotrebe i zloupotrebe
- Administrativni pristup zaštićen je višeslojnom autentifikacijom
- Osetljivi podaci (PIN, sertifikati, QR kod) automatski se brišu nakon svakog ishoda postupka
- Sertifikati se uklanjaju iz sistemskog skladišta - ni u jednom scenariju ne ostaju instalirani na uređaju
- Revizioni zapisi ne sadrže osetljive podatke - koriste se maskirane vrednosti
- Podaci se čuvaju u bezbednom data centru na teritoriji Republike Srbije, sa fizičkim i tehničkim merama zaštite
- Primena strogih bezbednosnih zaglavlja HTTP odgovora u skladu sa najboljim praksama
16 KONTAKT
Za sva pitanja u vezi sa obradom Vaših podataka o ličnosti ili ostvarivanjem Vaših prava, možete se obratiti:
Cara Dušana 212, 11080 Beograd (Zemun)
E-pošta (opšta): info@springtech.rs
E-pošta (zaštita podataka): dpo@springtech.rs
Telefon: +381 060 703 81 13