POLITIKA PRIVATNOSTI
Poslednja izmena: 10. mart 2026. godine
UVOD
Ova Politika privatnosti se odnosi na obradu podataka o ličnosti krajnjih korisnika (klijenata banke) koji koriste uslugu elektronske verifikacije identiteta putem softverskog sistema eID Tech, posredstvom ovlašćenih zaposlenih 3Bank A.D. Novi Sad, u svrhu preuzimanja parametara za aktivaciju ConsentID aplikacije.
Politika opisuje koje podatke prikupljamo, zašto ih prikupljamo, kako ih obrađujemo, koliko dugo ih čuvamo, kome ih otkrivamo, kako ih štitimo i koja prava imate u vezi sa Vašim podacima.
Privredno društvo Spring Tech d.o.o. Beograd (Zemun), sa sedištem na adresi Cara Dušana 212, 11080 Beograd, rukovalac je podataka i razvija softversko rešenje eID Tech.
Aplikacija eID Tech omogućava krajnjim korisnicima autentifikaciju na portalu eUprava (eid.gov.rs), kao i elektronsko preuzimanje parametara za aktivaciju mobilne aplikacije ConsentID, koje izdaje Kancelarija za informacione tehnologije i elektronsku upravu.
Rešenje eID Tech koristi se posredstvom ovlašćenog korisnika 3Bank A.D. Novi Sad, u okviru pružanja digitalnih finansijskih usluga kreditiranja pravnih lica i preduzetnika.
Cara Dušana 212, 11080 Beograd (Zemun)
E-pošta: info@springtech.rs
Telefon: +381 060 703 81 13
Rukovalac obrađuje Vaše podatke o ličnosti u skladu sa Zakonom o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018, u daljem tekstu: ZZPL) i drugim primenljivim propisima Republike Srbije.
1 KONTAKT PODACI LICA ZA ZAŠTITU PODATAKA O LIČNOSTI
Rukovalac je imenovao lice za zaštitu podataka o ličnosti (DPO) kome se možete obratiti u vezi sa svim pitanjima koja se odnose na obradu Vaših podataka i ostvarivanje Vaših prava:
E-pošta: dpo@springtech.rs
Telefon: +381 060 703 81 13
Adresa za prijem pošte:
Cara Dušana 212, 11080 Beograd (Zemun) - sa naznakom „Lice za zaštitu podataka o ličnosti“
2 NORMATIVNI I STANDARDNI OKVIR
Pri projektovanju i implementaciji „eID Tech“ rešenja, Spring Tech se rukovodi sledećim propisima i standardima:
- Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018)
- Uredba (EU) 2016/679 (GDPR) - kao referentni okvir
- Zakon o elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju
- Zakon o elektronskom dokumentu
- Zakon o informacionoj bezbednosti
- Principi NIS2 Direktive EU
- Standard ISO/IEC 27001:2022 (Sistem upravljanja bezbednošću informacija)
- Standard ISO/IEC 27701:2019 (Sistem upravljanja privatnošću)
3 PODACI KOJE PRIKUPLJAMO
U postupku verifikacije identiteta, prikupljamo i obrađujemo sledeće kategorije podataka:
| Kategorija | Podatak | Izvor |
|---|---|---|
| Identifikacioni podaci | Jedinstveni matični broj građana (JMBG), broj lične karte, datum važenja, organ izdavanja | Digitalni sertifikat na ličnoj karti |
| Identifikacioni podaci | Ime i prezime (iz sertifikata - Subject CN) | Digitalni sertifikat na ličnoj karti |
| Podaci o sertifikatu | Kvalifikovani elektronski sertifikat | Čip lične karte |
| Podaci o privrednom subjektu | Matični broj privrednog subjekta (MB) | Unos ovlašćenog zaposlenog banke |
| Kontakt podaci | E-mail adresa | Unos ovlašćenog zaposlenog banke |
| Kontakt podaci | Broj telefona | Unos ovlašćenog zaposlenog banke |
| Parametri za aktivaciju ConsentID | ID korisnika, Registracioni kod, QR kod za aktivaciju mobilne aplikacije ConsentID | Portal eUprava (eid.gov.rs) |
| ConsentID status | Status aktivacije ConsentID naloga | Portal eUprava (eid.gov.rs) |
| PIN lične karte | Četvorocifreni PIN za autentifikaciju na čipu kartice | Vaš unos |
| Tehnički podaci | IP adresa, identifikator sesije, vremenski žigovi pristupa | Automatski - Vaš uređaj/pregledač |
4 SVRHA I PRAVNI OSNOV OBRADE
Vaše podatke obrađujemo u sledeće svrhe:
| Svrha obrade | Pravni osnov (ZZPL) |
|---|---|
| Verifikacija Vašeg identiteta putem elektronske lične karte za potrebe preuzimanja parametara za ConsentID aplikaciju. | Član 12. stav 1. tačka 1) - Vaš pristanak |
| Čitanje digitalnog sertifikata sa čipa lične karte i prijava na portal eUprava | Član 12. stav 1. tačka 1) - Vaš pristanak |
| Autentifikacija korisnika na portalu eUprava i elektronsko preuzimanje parametara za aktivaciju mobilne aplikacije ConsentID, koje izdaje Kancelarija za informacione tehnologije i elektronsku upravu | Član 12. stav 1. tačka 1) - Vaš pristanak |
| Slanje e-mail obaveštenja u vezi sa postupkom verifikacije | Član 12. stav 1. tačka 1) - Vaš pristanak |
| Zaštita od zloupotrebe sistema (ograničenje broja zahteva, blokiranje IP adresa) | Član 12. stav 1. tačka 6) - Legitimni interes rukovaoca (bezbednost sistema) |
| Čuvanje evidencije o izvršenim verifikacijama radi dokazivosti i revizije | Član 12. stav 1. tačka 3) - Zakonska obaveza (čl. 47. i 50. ZZPL) |
Obrada JMBG-a vrši se u skladu sa članom 90. ZZPL-a i Zakonom o jedinstvenom matičnom broju građana, uz primenu odgovarajućih mera zaštite. JMBG se koristi isključivo u svrhu elektronske identifikacije na portalu eUprava radi autentifikacije korisnika i preuzimanja parametara za aktivaciju mobilne aplikacije ConsentID, koje izdaje Kancelarija za informacione tehnologije i elektronsku upravu.
5 PRISTANAK I PRAVO NA OPOZIV
Svojim pristankom koji dajete putem odgovarajućeg elektronskog obrasca potvrđujete da ste upoznati sa Politikom privatnosti i da dajete svoj pristanak na sve prethodno navedene svrhe obrade podataka.
Imate pravo da u svakom trenutku opozovete pristanak, bez navođenja razloga, slanjem zahteva na adresu e-pošte dpo@springtech.rs.
Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva (član 15. stav 4. ZZPL-a). Nakon opoziva, Vaši podaci se brišu u skladu sa odeljkom 9. ove Politike.
6 PRIMAOCI PODATAKA
Vaši podaci o ličnosti mogu se otkriti sledećim kategorijama primalaca:
| Primalac | Vrsta podataka | Svrha |
|---|---|---|
| Portal eUprava (eid.gov.rs) | Digitalni sertifikat, JMBG (automatski iz sertifikata) | Elektronska prijava radi autentifikacije korisnika i preuzimanja parametara za aktivaciju mobilne aplikacije ConsentID (koje izdaje Kancelarija za IT i eUpravu) |
| Krajnji korisnik (klijent banke) | ID korisnika, registracioni kod, QR kod za aktivaciju ConsentID | Parametri za aktivaciju ConsentID prikazuju se klijentu putem zaštićenog linka u ograničenom vremenskom periodu |
| Lettermint (lettermint.co) - pružalac usluge slanja e-pošte | E-mail adresa | Dostava obaveštenja o postupku verifikacije. Sadržaj e-pošte sadrži isključivo link - osetljivi podaci se ne prenose putem e-mail poruka. Lettermint automatski briše sve podatke o poslatim porukama u roku od 28 dana. |
Vaši podaci se ne prodaju, ne iznajmljuju niti otkrivaju trećim licima van gore navedenih primalaca.
7 ROK ČUVANJA PODATAKA
U skladu sa načelom ograničenja čuvanja (član 5. stav 1. tačka 5 ZZPL-a), primenjujemo sledeće rokove:
| Podatak | Rok čuvanja |
|---|---|
| PIN lične karte | Briše se odmah nakon korišćenja (u roku od nekoliko sekundi) |
| Digitalni sertifikati (privremeno instalirani u Windows Certificate Store) | Automatski se uklanjaju iz Certificate Store-a u svakom od sledećih slučajeva: uspešna ili neuspešna prijava na eUprava, odobrenje ili odbijanje zahteva od strane administratora banke, pogrešan PIN, istek sesije od 60 minuta ili bilo koja druga greška u postupku. Ni u jednom scenariju sertifikati ne ostaju instalirani na sistemu. |
| QR kod za verifikaciju | Briše se automatski po isteku tajmera prikaza (podrazumevano 120 sekundi) |
| ID korisnika i registracioni kod | Brišu se automatski po isteku tajmera prikaza |
| Sesijski podaci (tokeni, sesije verifikacije) | Ističu automatski u roku koji ne prelazi 60 minuta od kreiranja |
| IP adresa (za zaštitu od zloupotrebe) | 10 godina - u slučaju blokade, deblokiranje se vrši isključivo ručno od strane ovlašćenog administratora |
| Matični broj privrednog subjekta (MB), e-mail adresa, broj telefona, identifikator zahteva | 10 godina od dana obrade - u svrhu dokazivosti i revizije izvršenih verifikacija |
| Revizioni zapisi (audit logovi) | Najduže 10 godina, u skladu sa zakonskim obavezama |
Po isteku navedenih rokova, podaci se automatski i nepovratno brišu.
8 TEHNIČKE I ORGANIZACIONE MERE ZAŠTITE
U skladu sa članom 50. ZZPL-a, primenjujemo sledeće mere zaštite podataka o ličnosti:
Kriptozaštita
- Svi osetljivi podaci šifruju se industrijskim standardom enkripcije pre pohranjivanja u bazu podataka
- Tokeni u URL adresama dodatno su šifrovani - stvarni identifikatori nikada nisu vidljivi u adresnoj traci pregledača
- Komunikacija sa serverom zaštićena je TLS/HTTPS protokolom
Kontrola pristupa
- Sesije verifikacije su vremenski ograničene i vezane za uređaj i mrežu korisnika
- Pristup linkovima za verifikaciju ograničen je isključivo na IP adrese sa teritorije Republike Srbije (geografska restrikcija)
- Sistem primenjuje automatsku zaštitu od prekomerne upotrebe i zloupotrebe
- Administrativni pristup zaštićen je višeslojnom autentifikacijom
Minimizacija podataka
- Prikupljamo isključivo podatke koji su neophodni za postupak verifikacije
- Osetljivi podaci (PIN, sertifikati, ID korisnika, registracioni kod, QR kod) automatski se brišu nakon svakog od sledećih ishoda: uspešna ili neuspešna prijava na eUprava, odobrenje ili odbijanje zahteva, pogrešan PIN, istek sesije ili bilo koja druga greška u postupku
- Sertifikati se uklanjaju iz sistemskog skladišta - ni u jednom scenariju ne ostaju instalirani na uređaju
Bezbednosna zaglavlja
- Primena strogih bezbednosnih zaglavlja HTTP odgovora u skladu sa najboljim praksama
Beleženje i nadzor
- Sve radnje obrade se beleže u revizione zapise (audit logove)
- Logovi ne sadrže osetljive podatke - koriste se maskirane vrednosti
Fizička i infrastrukturna zaštita
- Podaci se čuvaju u bezbednom data centru na teritoriji Republike Srbije
- Data centar primenjuje fizičke i tehničke mere zaštite, uključujući kontrolu pristupa, redundantnost sistema i neprekidni nadzor
9 PRENOS PODATAKA
Vaši podaci se obrađuju na teritoriji Republike Srbije. U meri u kojoj se usluge trećih lica (kao što je pružalac usluge slanja e-pošte) nalaze van teritorije Republike Srbije, primenjuju se odgovarajuće mere zaštite u skladu sa članom 65. ZZPL-a, uključujući standardne ugovorne klauzule i tehničke mere šifrovanja.
Podaci koji se šalju portalu eUprava prenose se u skladu sa zakonskim okvirom Republike Srbije za elektronsku upravu i identifikaciju.
10 VAŠA PRAVA
U skladu sa Glavom III ZZPL-a, imate sledeća prava u vezi sa obradom Vaših podataka o ličnosti:
| Pravo | Opis | Član ZZPL-a |
|---|---|---|
| Pravo na informisanost | Pravo da budete informisani o obradi Vaših podataka - ostvaruje se ovom Politikom | Čl. 23. i 24. |
| Pravo na pristup | Pravo da zahtevate informaciju o tome da li obrađujemo Vaše podatke i pristup tim podacima | Član 26. |
| Pravo na ispravku | Pravo da zahtevate ispravku netačnih podataka ili dopunu nepotpunih podataka | Član 29. |
| Pravo na brisanje | Pravo da zahtevate brisanje Vaših podataka kada više nisu neophodni za svrhu obrade | Član 30. |
| Pravo na ograničenje obrade | Pravo da zahtevate ograničenje obrade u slučajevima predviđenim zakonom | Član 31. |
| Pravo na prenosivost | Pravo da primate podatke u strukturisanom, uobičajenom i elektronski čitljivom obliku | Član 36. |
| Pravo na prigovor | Pravo da u svakom trenutku uložite prigovor na obradu zasnovanu na legitimnom interesu | Član 37. |
| Pravo na opoziv pristanka | Pravo da u svakom trenutku opozovete dati pristanak, bez posledica po vas | Član 15. st. 3. i 4. |
Kako da ostvarite svoja prava
Zahtev za ostvarivanje bilo kog od navedenih prava možete podneti:
- Putem e-pošte na adresu: dpo@springtech.rs
- Poštom na adresu sedišta rukovaoca navedenu u odeljku 1.
Odgovor na Vaš zahtev dostavićemo u roku od 30 dana od dana prijema zahteva (član 21. stav 3. ZZPL-a). U izuzetnim slučajevima, ovaj rok se može produžiti za dodatnih 60 dana, o čemu ćete biti pravovremeno obavešteni.
11 PRAVO NA PRITUŽBU
Ako smatrate da smo obradom Vaših podataka o ličnosti povredili odredbe ZZPL-a, imate pravo da podnesete pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti (član 82. ZZPL-a):
Bulevar kralja Aleksandra 15, 11000 Beograd
Telefon: +381 11 3408 900
E-pošta: office@poverenik.rs
Veb-sajt: www.poverenik.rs
Takođe imate pravo na sudsku zaštitu u skladu sa članom 84. ZZPL-a.
12 AUTOMATIZOVANO DONOŠENJE ODLUKA
Sistem eID Tech ne vrši automatizovano donošenje odluka niti profilisanje u smislu člana 38. ZZPL-a.
U cilju zaštite interesa podnosioca zahteva za preuzimanje parametara za ConsentID aplikaciju i sprečavanja potencijalnih zloupotreba, 3 Bank A.D. Novi Sad zadržava pravo da verifikuje ispravnost postupka radnji koje sprovodi zaposleni Banke prilikom iniciranja izdavanja parametara u smislu provere verodostojnosti podataka o podnosiocu zahteva.
Spring Tech će podatke o ličnosti podnosioca zahteva za preuzimanje parametara za ConsentID aplikaciju dostavljati 3 Bank A.D. Novi Sad. O svim bitnim elementima obrade podataka o ličnosti od strane 3 Bank A.D. Novi Sad podnosilac zahteva može se informisati putem sledećeg LINK-a.
13 PODACI O MALOLETNIM LICIMA
Usluga eID Tech namenjena je isključivo punoletnim fizičkim licima (starijim od 18 godina) koja poseduju elektronsku ličnu kartu Republike Srbije. Ne prikupljamo svesno podatke o maloletnim licima.
14 KOLAČIĆI (Cookies)
Sistem eID Tech koristi isključivo tehničke kolačiće koji su neophodni za funkcionisanje sesije verifikacije (vezivanje sesije za pregledač - session binding). Ovi kolačići:
- Ne služe za praćenje korisnika niti za marketing
- Ne sadrže podatke o ličnosti
- Automatski se brišu po zatvaranju pregledača ili isteku sesije
Za ove kolačiće nije potreban poseban pristanak u skladu sa primenljivim propisima.
15 OPIS POSTUPKA OBRADE
Radi potpune transparentnosti, ukratko opisujemo korake u postupku verifikacije:
- Pokretanje zahteva na terenu: Ovlašćeni zaposleni 3Bank A.D. Novi Sad, koristeći uređaj na kojem je instalirana aplikacija eID Tech, ubacuje Vašu elektronsku ličnu kartu u čitač. U aplikaciji unosi matični broj privrednog subjekta koji zastupate (MB), Vašu e-mail adresu i broj telefona.
- Slanje obaveštenja klijentu: Server obrađuje zahtev i šalje Vam e-mail sa linkom na ovu Politiku privatnosti.
- Čitanje lične karte: Sistem čita digitalne sertifikate direktno sa čipa Vaše elektronske lične karte putem čitača pametnih kartica, bez potrebe za unosom PIN-a ili bilo kakvom potvrdom sa Vaše strane. Sertifikati se privremeno instaliraju u Windows Certificate Store radi kasnijeg korišćenja u postupku prijave na eUprava.
- Prihvatanje Politike: Prihvatanjem ove Politike putem linka, dajete pristanak za obradu Vaših podataka u navedene svrhe.
- Slanje zahteva administratoru: Nakon Vašeg prihvatanja, sistem šalje obaveštenje ovlašćenom administratoru banke radi odobrenja zahteva.
- Odobrenje zahteva: Ovlašćeni administrator banke pregleda i odobrava zahtev. Dok čekate odobrenje, prikazuje Vam se stranica za čekanje.
- Unos PIN-a: Nakon odobrenja, dobijate mogućnost unosa PIN-a Vaše lične karte radi autentifikacije. PIN se koristi isključivo u tom trenutku i odmah se briše.
- Prijava na eUprava: Aplikacija Vas autentifikuje na portalu eUprava (eid.gov.rs) koristeći kvalifikovani elektronski sertifikat sa Vaše lične karte i inicira elektronsko preuzimanje parametara za aktivaciju mobilne aplikacije ConsentID, koje izdaje Kancelarija za informacione tehnologije i elektronsku upravu.
- Prikaz rezultata: Preuzeti parametri za aktivaciju ConsentID (ID korisnika, registracioni kod, QR kod) prikazuju se Vama putem zaštićenog linka u ograničenom vremenskom periodu.
- Brisanje privremenih podataka: Digitalni sertifikati se privremeno instaliraju u Windows Certificate Store isključivo tokom trajanja sesije verifikacije i automatski se uklanjaju u svakom od sledećih ishoda:
- uspešno generisanje ConsentID parametara,
- neuspešna prijava na eUprava (greška, istek, pogrešan PIN),
- odbijanje zahteva od strane administratora banke,
- istek sesije od 60 minuta od momenta pokretanja zahteva.
Pored sertifikata, brišu se i PIN (odmah nakon korišćenja), QR kod i parametri za ConsentID (po isteku tajmera prikaza). Podaci navedeni u odeljku 9. čuvaju se u skladu sa propisanim rokovima.
16 IZMENE POLITIKE PRIVATNOSTI
Zadržavamo pravo da ovu Politiku privatnosti izmenimo u skladu sa promenama u zakonodavstvu ili u postupku obrade podataka. U slučaju bitnih izmena, obavestićemo Vas putem e-pošte ili prikazom obaveštenja prilikom narednog korišćenja sistema.
Datum poslednje izmene naveden je na vrhu ovog dokumenta. Nastavkom korišćenja usluge nakon objavljivanja izmena, smatra se da ste upoznati sa novom verzijom Politike.
17 KONTAKT
Za sva pitanja u vezi sa obradom Vaših podataka o ličnosti ili ostvarivanjem Vaših prava, možete nas kontaktirati:
- E-pošta (opšta): info@springtech.rs
- E-pošta (zaštita podataka): dpo@springtech.rs
- Poštom: Cara Dušana 212, 11080 Beograd (Zemun)
- Telefon: +381 060 703 81 13