Na osnovu Zakona o zaštiti podataka o ličnosti („Službeni glasnik RS”, broj 87/2018) i člana 198. stav 4. Zakona o privrednim društvima („Službeni glasnik RS”, broj 36/2011, 99/2011,83/2014, – dr. zakon, 5/2015 i 44/2018) turistička agencija Top Travel Agency Novi Sad, dana 13.09.2021. godine donosi:

PRAVILNIK  O ZAŠTITI PODATAKA O LIČNOSTI

SVRHA I CILJ PRAVILNIKA

Član 1.

Pravilnik o zaštiti podataka o ličnosti (u daljem tekstu: Pravilnik) je opšti akt, odnosno glavni dokument koji je donet u svrhu bližeg regulisanja zaštite podataka o ličnosti lica koja se nalaze u okviru organizacije preduzetnika ili u određenoj vezi sa njim (pre svega, zaposlenih, saradnika, konsultanata i lica angažovanih na drugi način od strane preduzetnika, kao i lica sa kojima preduzetnik ima uspostavljen određeni vid poslovne saradnje, a čije podatke preduzetnik  obrađuje, npr. korisnika i klijenata), a u skladu sa Zakonom o zaštiti podataka o ličnosti Republike Srbije („Sl. glasnik RS“, br. 87/2018).  Turistička agencija Top Travel Agency, Petra Drapšina 25, 21000 Novi Sad, MB 66243877, PIB 112632401 (u daljem tekstu: Rukovalac) se obavezuje da garantuje tajnost ličnih podataka u okviru pružanja usluga organizovanja turističkih putovanja, kao i drugih turističkih usluga u skladu sa Zakonom o zaštiti podataka o ličnosti (u daljem tekstu: Zakon). Takođe, Rukovalac garantuje sigurnost i privatnost na internet platformi koju koristi, a koja se nalazi na web adresi www.toptravel.rs. Cilj donošenja Pravilnika je da se obezbedi pravna sigurnost i transparentnost u pogledu obrade podataka o ličnosti lica iz stava 1. ovog člana, kao i da se utvrdi pravni osnov, svrha obrade, vrste podataka koje se obrađuju, prava fizičkih lica u pogledu obrade podataka o ličnosti, mere zaštite podataka, itd. Pravilnik ustanovljava i obaveze zaposlenih u pogledu zaštite podataka o ličnosti fizičkih lica, u skladu sa zakonom. Pojam „zaposleni”, obuhvata, osim o zaposlenih u smislu Zakona o radu i lica angažovana na osnovu ugovora o delu, autorskih ugovora, ugovora o pružanju konsultantskih usluga, i slično, a koji ugovori sadrže klauzulu kojom se angažovano lice od strane Rukovaoca obavezuje da poštuje odredbe ovog Pravilnika, a čiji tekst je prilog i sastavni deo svakog pojedinačnog ugovora.

POJMOVI I SKRAĆENICE

Član 2.

·     Zakon o zaštiti podataka o ličnosti („Službeni glasnik RS”, broj 87/2018, u daljem tekstu: „Zakon o zaštiti podataka”, „ZZPL”);

·     Zakon o radu Republike Srbije („Službeni glasnik RS”, 24/2005, 61/2005, 54/2009, 32/2013, 5/2014, 13/2017 – odluka Ustavnog suda i 113/2017) (u daljem tekstu: „ZoR”);

·     Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije (u daljem tekstu: „Poverenik”);

·     Podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;

·     Posebne vrste podataka o ličnosti su podaci kojim se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, genetski podataci, biometrijski podaci, podaci o zdravstvenom stanju, seksualnom životu ili seksualnoj orijentaciji fizičkog lica;

·     Obrada podataka o ličnosti je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: obrada);

·     Rukovalac je Društvo kao pravno lice koje u smislu ZZPL određuje svrhu i način obrade podataka o ličnosti.

·     Obrađivač je fizičko ili pravno lice, koji obrađuje podatke o ličnosti u ime rukovaoca.

·     Primalac je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade;

·     Treća strana je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača;

·     Pristanak lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose;

·     Povreda podataka o ličnosti je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani;

·     Predstavnik je fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije koje je u skladu sa članom 44. ovog zakona ovlašćeno da predstavlja rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama predviđenim ovim zakonom.

PODACI O LIČNOSTI KOJE OBRAĐUJE RUKOVALAC

Član 3.

Rukovalac može obrađivati sledeće podatke o ličnosti zaposlenih:

·     Ime i prezime, adresa, datum i mesto rođenja, pol, bračno stanje, matični broj, broj lične karte, državljanstvo, broj zdravstvenog osiguranja (LBO);

·     Akademske i profesionalne kvalifikacije: stepen obrazovanja, titule, podatke o veštinama, znanju stranih jezika, obukama, istorija zaposlenja, biografija;

·     Finansijski podaci: broj bankovnog računa, podaci o zaradi i dodatanim naknadama;

·     Podaci o izvršenju radnih obaveza: pozicija, procena nadzornog organa (lica), poslovna e-mail adresa, IP adresa, pristupni kredencijali (npr. korisničko ime i lozinka);

·     Komunikacijski podaci: e-mail, broj telefona, kontakt srodnika za hitne slučajeve, kao i drugi podaci neophodni za izvršenje zakonom propisanih obaveza poslodavca i realizacije ugovora o radu, dnosno drugog ugovornog odnosa između zaposlenog i Rukovaoca.

·     Rukovalac može obrađivati i određene kategorije posebnih vrsta podataka o ličnosti, poput podataka o zdravstvenom stanju ili podataka o verskom opredeljenju, a u skladu sa članom 17. ZZPL, posebne vrste podataka o ličnosti zaposlenih za svrhu izvršenja obaveza ili primene zakonom propisanih ovlašćenja u oblasti rada, socijalnog osiguranja i socijalne zaštite.

·     Rukovalac ne obrađuje veći broj ili drugu vrstu ličnih podataka od onih koji su potrebni da bi se ispunila navedena svrha. Ukoliko se obrada posebnih vrsta podataka vrši na osnovu saglasnosti lica (na primer, kako bi se prilagodili uslovi obuke zdravstvenom stanju polaznika), ta saglasnost mora biti data u pisanoj formi koja obuhvata detaljne informacije o vrsti podataka koji se obrađuju, svrsi obrade i načinu korišćenja podataka.

Rukovalac može obrađivati sledeće podatke o ličnosti korisnika/klijenata:

·     Ime i prezime, datum rođenja, mesto rođenja, adresu prebivališta, broj pasoša, JMBG, kontakt e-mail adresa, kontakt telefon.

Rukovalac može obrađivati sledeće podatke o ličnosti kandidata za posao:

·     Ime i prezime, datum i mesto rođenja;

·     Akademske i profesionalne kvalifikacije sadržane u radnoj biografiji i motivacionom pismu (stepen obrazovanja, titule, podaci o veštinama, znanju stranih jezika, obukama, lista prethodnih poslodavaca; komunikacijski podaci: e-mail, broj telefona).

Prilikom raspisivanja konkursa za zaposlenje Rukovalac ne utvrđuje formu radne biografije već se kandidatu ostavlja da je sam odredi. U tom smislu Rukovalac može doći u posed većeg obima podataka od predstavljenog, voljom kandidata za posao. Svi prikupljeni podaci čuvaju se u periodu do 1 godine u svrhu naknadne procene potrebe za angažovanjem kandidata za posao.

IZVORI PODATAKA O LIČNOSTI

Član 4.

Rukovalac prikuplja (elektronskim, pisanim ili usmenim putem) podatke o ličnosti direktno od lica na koje se podaci odnose: zaposlenog lica, korisnika ili klijenta. Rukovalac može prikupljati podatke o zaposlenima i kandidatima za posao i iz drugih izvora, pre svega bivših poslodavaca, pod uslovom da se radi o podacima koji su relevantni za zaposlenje. Svi podaci, koji nisu nužni za obradu u predstavljene svrhe, biće trajno brisani.

SVRHA OBRADE PODATAKA

Član 5.

Rukovalac obrađuje podatke o ličnosti u svrhe navedene u odredbama člana 6-9 ovog Pravilnika. Ne obrađuje se više podataka ili širi krug podataka od onih koji su neophodni za ostvarenje navedenih svrha.

ZAPOŠLJAVANJE I UPRAVLJANJE LJUDSKIM RESURSIMA

Član 6.

Rukovalac obrađuje podatke o ličnosti za potrebe uspostavljanja i realizacije radnog odnosa, uključujući i druge ugovorne odnose po osnovu kojih Društvo angažuje saradnike i konsultante, kao što su podaci za potrebe utvrđivanja adekvatnosti i kvalifikacija kandidata za određena radna mesta, za upravljanje radnim vremenom i odsustvima, za obračun zarada, putnih troškova i dnevnica, za utvrđivanje naknada po osnovu bolovanja i drugih vidova odsustva sa radnog mesta, za procenu napredovanja zaposlenih, za obezbeđivanje dodatnih obuka i edukacija i za disciplinske postupke.

POSLOVNE AKTIVNOSTI

Član 7.

Rukovalac se bavi prodajom turističkih aranžmana u zemlji i inostranstvu, putnog osiguranja, autobuskih i avio karata kao posrednik-subagent turitičkih putovanja. Rukovalac obrađuje podatke o ličnosti za potrebe organizacije turističkih aranžmana, odnosno za potrebe smeštaja, prevoza, prateće putne dokumentacije i drugih turističkih usluga. Podaci se prikupljaju neposredno od stranaka uvidom u dokumenta (pasoš ili lična karta), putem maila, SMS poruke, Viber-a ili telefona.

Prilikom rezervacije smeštaja koriste se sledeći podaci: ime i prezime, adresu, datum rođenja, JMBG po potrebi, kontakt telefon, e-mail. Pored ovih podataka, koriste se i podaci o broju pasoša za potrebe rezervacije prevoza. Ostali podaci kao što su e-mail i mobilni telefon koriste se za potrebe komunikacije sa strankama i slanje obaveštenja o vremenu polaska na putovanje, obaveštavanja o novim ponudama itd.

Podaci se čuvaju u bazi podataka Rukovaoca.

Prilikom izrade polise putnog osiguranja, podaci se unose u sistem osiguravajuće kuće gde se unose svi pomenuti podaci i izdaje polisa iz njihovog sistema. Podaci se ne koriste za druge upotrebe, niti se šalju trećim licima.

KOMUNIKACIJE, INFORMACIONE TEHNOLOGIJE I INFORMACIONA BEZBEDNOST

Član 8.

Rukovalac obrađuje podatke o ličnosti u svrhu upravljanja i održavanja funkcionisanja komunikacijske i informacione mreže, te održavanja informacione bezbednosti.

USKLAĐIVANJE POSLOVANJA SA RELEVANTNIM PROPISIMA

Član 9.

Rukovalac obrađuje podatke o ličnosti radi ispunjenja pravnih obaveza i usklađivanja poslovanja sa relevantnim pravnim propisima, pre svega iz domena radnog i poreskog zakonodavstva.

PRISTUP I USTUPANJE PODATAKA O LIČNOSTI

Član 10.

Pristup podacima o ličnosti ima samo Rukovalac i zaposleni kod Rukovaoca.

Podaci o ličnosti biće dostupni trećim licima izvan Rukovaocima samo u sledećim slučajevima:

·     Rukovalac će ustupati lične podatke trećim licima samo za potrebe navedene u nastavku pri čemu će preduzeti sve potrebne mere kako bi se osiguralo da se lični podaci obrađuju i obezbeđuju u skladu sa važećim propisima.

·     Rukovalac može angažovati treća lica – pružaoce usluga – da vrše pojedine radnje obrade podataka za račun i u ime Rukovaoca u kom slučaju Rukovalac ima svojstvo rukovaoca, a pružaoci usluga svojstvo obrađivača podataka o ličnosti. U ovoj situaciji se obrađivaču ustupaju samo podaci neophodni za ostvarenje svrhe ugovorene obrade, i obrađivači ih ne mogu koristiti za druge svrhe. U ovim slučajevima, uslovi obrade podataka i odgovornost za zaštitu podataka definisaće se ugovorom između Rukovaoca i obrađivača.

·     Lični podaci ustupiće se javnim organima samo kada je to zakonom propisano.

·     Ako je podatke potrebno proslediti radi realizacije Ugovora.

Obrađivači podataka o ličnosti nemaju pravo da obrađuju podatke o ličnosti koji su im dostavljeni u druge svrhe, osim za obavljanje poslova koje im dodeljuje Rukovalac, a po osnovu Ugovora. Obrađivači su dužni da se pridržavaju svih pismenih uputstava Rukovaoca. Rukovalac preduzima sve neophodne mere kako bi osigurala da se angažovani obrađivači strogo pridržavaju Zakona o zaštiti podataka o ličnosti i pismenih uputstava Rukovaoca, kao i da su preduzeli odgovarajuće tehničke, organizacione i kadrovske mere za zaštitu podataka o ličnosti.

Rukovalac prikuplja i podatke o ličnosti od putnika odnosno klijenata iz drugih država u svrhu realizacije Ugovora o putovanju.

Rukovalac prenosi podatke o ličnosti u druge države i međunarodne organizacije u svrhu realizacije Ugovora o putovanju.

Rukovalac podatke o ličnosti obrađuje u Republici Srbiji.

ROKOVI ČUVANJA PODATAKA

Član 11.

Podaci o ličnosti neće biti zadržani duže nego što je to neophodno za ostvarenje svrhe za koju su obrađivani. Ukoliko je rok čuvanja podataka o ličnosti propisan zakonom, Rukovalac će zadržati podatke u datom zakonskom roku. Nakon ispunjenja svrhe, odnosno isteka zakonom propisanog roka za čuvanje podataka, podaci će biti trajno obrisani.

U skladu sa Zakonom o turizmu sva dokumentaciju o prodatim turističkim putovanjima, koji uključuju Ugovor o putovanju sa fizičkim licima i njihovim podacima čuva se u bazama podataka Rukovaoca dve godine nakon čega se podaci brišu.

Podaci se ne koriste za druge upotrebe, niti se šalju trećim licima.

U određenim slučajevima, lični podaci se mogu čuvati duži vremenski period, za potrebe ispunjenja zakonskih obaveza ili za uspostavljanje, vršenje ili odbranu pravnog zahteva, u skladu sa važećim zakonima.

Lični podaci o zaposlenima kao i bivšim zaposlnima se u kadrovskoj evidenciji Rukovaoca u skladu sa Zakonom o evidencijama u oblasti rada čuvaju trajno.

PRAVA LICA U POGLEDU ZAŠTITE PODATAKA O LIČNOSTI

Član 12.

Pravo na informisanje

Zaposleni i druga lica na koja se podaci odnose imaju pravo da budu informisani o svojim pravima, obavezama i o pitanjima koja se odnose na obradu njihovih podataka o ličnosti, u smislu ZZPL čak i pre nego što počne obrada tih podataka.

Pravo na pristup

Zaposleni i druga lica na koja se podaci odnose imaju pravo da zahtevaju od Rukovaoca da omogući pristup njihovim podacima o ličnosti, odnosno pravo da utvrde predmet, način, svrhu i obim obrade tih podataka, kao i na postavljanje pitanja o samoj obradi.

Pravo na ispravku i dopunu

Nakon izvršenog uvida, lica na koja se podaci odnose imaju pravo da od Rukovaoca zahtevaju ispravku, dopunu, odnosno ažuriranje obrađivanih podataka o ličnosti.

Pravo na brisanje

Lice na koje se podaci odnose može zahtevati od Rukovaoca brisanje njihovih podataka o ličnosti u skladu sa ZZPL, kao i prekid, odnosno privremenu obustavu obrade.

Pravo na povlačenje pristanka za obradu

U situacijama kada je pravni osnov za obradu ličnih podataka saglasnost lica na koje se podaci odnose, to lice ima pravo da u bilo kom trenutku povuče datu saglasnost, u pisanom obliku.

Pravo na ograničenje obrade

Lice na koje se podaci odnose, shodno ZZPL, ima pravo da zahteva od rukovaoca da se obrada njegovih podataka o ličnosti ograniči.

Pravo na prenosivost podataka

Lice na koje se podaci odnose može da zahteva prenošenje podataka o ličnosti drugom rukovaocu, kada je to tehnički izvodljivo, odnosno kada se lični podaci, koji su predmet zahteva za prenošenje, nalaze u strukturiranom i mašinski čitljivom formatu.

Pravo na prigovor i automatizovano donošenje pojedinačnih odluka

Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice na koga se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka, kao i da se na to lice ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj.

Lice na koje se podaci odnose ima pravo da se protivi obradi ličnih podataka u cilju direktnog marketinga i zatraži ograničenje obrade u nekim drugim slučajevima.

U slučaju da lice na koje se podaci odnose nije zadovoljno odgovorom Rukovaoca na zahtev za ispunjavanje prava u pogledu zaštite ličnih podataka, ima pravo da podnese žalbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti (https://www.poverenik.rs/sr/).

OBAVEZE ZAPOSLENIH

Član 13.

Zaposleni su obavezni da ustupe svoje lične podatke koji su neophodni da Rukovalac ispunjava svoje zakonske obaveza, kao i da obavlja tekuće poslovanje.

Zaposleni su obavezni da poštuju i štite lične podatke koje obrađuju tokom rada, u skladu sa kadrovskim, tehničkim i organizacionim merama koje propisuje Rukovalac, odnosno poslodavac, a u cilju zaštite integriteta podataka o ličnosti i prava lica na koje se ti podaci odnose.

Zaposleni mogu obrađivati samo one podatke kojima im je dozvoljen pristup, u skladu sa zadacima koje obavljaju.

RUKOVALAC I LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Član 14.

Rukovalac:

Kontakt podaci o Rukovaocu:

Naziv rukovaoca: Sanja Stojaković

Adresa: Trg Save Vukosavljeva, 1/3 21000 Novi Sad

Kontakt telefon: 063/83 78 207

Mail: sanja stojakovic80@gmail.com

Lice za zaštitu podataka o ličnosti:

Zainteresovana fizička lica čiji su podaci predmet obrade od strane Rukovaoca može ostvariti svoja prava o zaštiti podataka o ličnosti kao i sva pitanja i dileme u vezi njihovih prava na zaštitu podataka o ličnosti u kontaktu sa licem za zaštitu podataka o ličnosti.

Lica za zaštitu podataka o ličnosti Rukovaoca je:

Ime i prezime: Sanja Stojaković

Kontakt telefon: 063 83 78 207

Mail: sanjastojakovic80@gmail.com

U skladu sa članom 58. Zakona obaveze lica za zaštitu podataka o ličnosti su:

·     informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;

·     prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;

·     daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni, u skladu sa članom 54. ovog zakona;

·     sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja iz člana 55. ovog zakona.

Rukovalac je obavestio Poverenika o licu za zaštitu podataka o ličnosti na propisanom Obrascu i na zahtevanu mail adresu licezazastitu@poverenik.rs.

PRELAZNE I ZAVRŠNE ODREDBE

Član 15.

Ovaj pravilnik primenjuje se od 21.08.2019. godine, odnosno od dana početka primene Zakona o zaštiti podataka o ličnosti.

Preduzetnik

Sanja Stojaković