LENJIVAC BEG sa sedištem na adresi: MIHAJLA PUPINA 25, BELA CRKVA, matični broj: 67118707; PIB: 113834073, el. adresa: info@lenjivac.com (u daljem tekstu: Društvo), donosi dana 01.08.2023. godine, ovu Politiku privatnosti.

1. Uvodne odredbe

U ime LENJIVAC BEG obavezujemo se da ćemo čuvati privatnost svih naših kupaca. Prikupljamo samo neophodne, osnovne podatke o kupcima/ korisnicima i podatke neophodne za poslovanje i informisanje korisnika u skladu sa dobrim poslovnim običajima i u cilju pružanja kvalitetne usluge. Dajemo kupcima mogućnost izbora uključujući mogućnost odluke da li žele ili ne da se izbrišu sa mailing lista koje se koriste za marketinške kampanje. Svi podaci o korisnicima/kupcima se strogo čuvaju i dostupni su samo zaposlenima kojima su ti podaci nužni za obavljanje posla. Svi zaposleni Lenjivac BEG (i poslovni partneri) odgovorni su za poštovanje načela zaštite privatnosti.

1.1. Svrha ove Politike privatnosti je regulisanje unutrašnje politike privatnosti, pravila i procedura Društva u skladu sa Opštom uredbom o zaštiti podataka o ličnosti EU (engl. General Data Protection Regulation, u daljem tekstu: “GDPR”) i Zakonom o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018) – u daljem tekstu: „Zakon“.
1.2. Definicije i izrazi iz ove Politike privatnosti korespondiraju definicijama i izrazima sadržanim u Zakonu.
1.3. Društvo je posvećeno poštovanju zakonodavstva Republike Srbije koje reguliše zaštitu podataka o ličnosti i GDPR-a, kao i poštovanju zaštite osnovnih ljudskih prava i sloboda, a pre svega prava na privatnost lica čije podatke o ličnosti obrađuje Društvo.
1.4. Društvo prikuplja i obrađuje podatke, koji su detaljno definisani u tački 2.1. ove Politike privatnosti.
1.5. Relevantno zakonodavstvo Republike Srbije, GDPR i ova Politika privatnosti se primenjuju na sve aktivnosti obrade podataka od strane Društva. Pod licima se misli na kupce i klijente Društva na lica koja vrše pregovore sa Društvom, a kasnije odustanu od poslovne saradnje sa Društvom i treća zainteresovana lica (u daljem tekstu: „Lica“).
1.6. Zaposleni Društva koja su radno angažovana su u obavezi da poštuju i u svom radu primenjuju ovu Politiku privatnosti. U slučaju kršenja ove Politike privatnosti, GDPR-a ili Zakona, primenjivaće se relevantni zakoni, kao i interne procedure propisane ovom Politikom privatnosti (predviđeno u tački 6 ove Politike privatnosti).
1.7. Od trećih lica koja na bilo koji način sarađuju sa Društvom i koja u okviru takve saradnje mogu imati pristup podacima koje Društvo obrađuje, se očekuje da su pročitala ovu Politiku privatnosti i da je se pridržavaju. Nijedno treće lice neće imati pravo da pristupi podacima koje Društvo obrađuje pre nego da sa Društvom potpiše odgovarajući ugovor o poverljivosti, odnosno ugovor o zajedničkoj obradi podataka ili ugovor između rukovaoca i obrađivača o obradi podataka.

2. Podaci koje Društvo obrađuje

2.1. Društvo obrađuje sledeće podatke od Lica:
a) ime i prezime;
b) adresa stanovanja;
c) e-mail adresa;
d) kontakt telefon.
U daljem tekstu zajedno označene kao: „Podaci”.
2.2. Podaci se prikupljaju kako bi Društvo postupilo u skladu sa svim zakonskim i podzakonskim propisima koji se odnose na obavljanje njegove delatnosti, uključujući Zakon o trgovini, Zakon o obligacionim odnosima, Zakon o zaštiti potrošača kao i druge zakone i podzakonska akta.
2.3. Društvo je u zakonskoj obavezi da u odnose na Lica koja su domaći državljani prikupi podatke navedene u tački 2.1. ove Politike privatnosti. U odnosu na Lica koja su strani državljani, Društvo je shodno zakonu obavezno da prikuplja sledeće lične podatke: 1) ime i prezime, 2) adresa stanovanja, 3) e-mail adresa i 4) kontakt telefon.
2.4. Društvo može zaključiti ugovor o zajedničkom rukovanju sa drugim društvom kojim će odrediti vrstu i svrhu prikupljanja Podataka.

3. Društvo kao rukovalac

Podaci koje Društvo obrađuje kao rukovalac

3.1. Društvo kao rukovalac obrađuje Podatke sledećih Lica:
a) kupaca i klijenata Društva;
b) lica koja vrše pregovore sa Društvom, a kasnije odustanu od poslovne saradnje sa Društvom.
3.2. U slučaju da je potrebno da Društvo u budućnosti obrađuje Podatke kategorija lica koja nisu navedena u tački 3.1, Društvo će to učiniti u skladu sa Zakonom i GDPR-om bez potrebe da izvrši izmene i dopune ove Politike privatnosti. Međutim, ukoliko takva obrada Podataka postane sistematska i/ili obrada koja je uključena u svakodnevne aktivnosti Društva, ova Politika privatnosti će shodno biti izmenjena.
3.3. Detaljni opis kategorija lica čiji se Podaci obrađuju i ostalih relevantnih informacija u vezi sa Podacima koje se obrađuju se nalaze u evidencijiza obradu Podataka koju Društvo redovno ažurira.

Svrha obrade Podataka

3.4. Podaci se prikupljaju kako bi Društvo postupilo u skladu sa svim zakonskim obavezama, koja se odnose na njegovo poslovanje, za statističke svrhe, marketinške svrhe i uopšte za svrhe prodaje robe.
3.5. U slučaju da Društvo u bilo kom trenutku dođe u situaciju da je potrebno da obrađuje Podatke Lica iz tačke 3.1. ove Politike privatnosti u neku drugu svrhu, Društvo će to učiniti u skladu sa zahtevima relevantnog zakonodavstva Republike Srbije i GDPR-a bez potrebe da izvrši izmene i dopune ove Politike privatnosti. Međutim, ukoliko takva obrada Podataka postane sistematska i/ili obrada koja je uključena u svakodnevne aktivnosti Društva, ova Politika privatnosti će shodno biti izmenjena.
3.6. Društvo je odredilo rokove zadržavanja Podataka koji su u potpunosti u skladu sa konkretnom svrhom obrade, pa se takvi rokovi nalaze o evidenciji obrade Podataka koju Društvo vodi. Društvo će periodično preispitivati rokove zadržavanja podataka i menjati ih ukoliko smatra da je to potrebno.
3.7. Aktivnosti obrade Društva ne uključuju profajling ili bilo koji vid automatske obrade Podataka koji imaju za cilj evaluaciju određenih ličnih aspekata Lica na koje se Podaci odnose, poput aspekata koji se odnose na ekonomsku, zdravstvenu situaciju i lične preferencije lica, kao i ostale lične aspekte.
3.8. Dodatni detalji o obradi podataka i rokovima zadržavanja se nalaze u evidenciji obrade Podataka Društva.

Pravni osnov obrade podataka

3.9. Društvo identifikuje pravni osnov obrade Podataka pre započinjanja aktivnosti obrade, tako što jasno utvrđuje, definiše, i, tamo gde je primenljivo, dokumentuje konkretnu svrhu obrade Podataka i odgovarajući pravni osnov.
3.10. U trenutku donošenja ove Politike privatnosti, Društvo obrađuje podatke na osnovu pristanka Lica i na osnovu zakona.
3.11. U slučaju da se obrada Podataka vrši na osnovu pristanka lica, forma i sadržina takvog pristanka će biti u skladu sa odredbama Zakona i GDPR-a. Primer obrasca pristanka za obradu Podataka dat je u Prilogu 1 ove Politike privatnosti, ali Društvo zadržava pravo da isti izmeni, u slučaju izmene relevantnih pravnih propisa. Ukoliko je pristanak potreban u slučaju određenih obrada Podataka, obrazac pristanka za obradu Podatak može biti dat u sklopu ostale dokumentacije ili kao deo ugovora koje Društvo zaključuje sa trećim licem, ali uvek na jasan i transparentan način. Radi izbegavanja svake sumnje, u slučaju da Lice da pristanak Društvu za obradu, takav pristanak će lice moći da opozove u svakom trenutku.
3.12. U slučaju da Društvo odluči da obrađuje Podatke na osnovu legitimnog interesa, Društvo će, shodno konkretnom slučaju, sprovesti odgovarajuće testove da bi utvrdila da li je konkretan legitimni interes u suprotnostisa interesima i osnovnim pravima islobodama Lica na koja se Podaci odnose, a ukoliko se ispostavi da jeste, Društvo takve Podatke neće obrađivati.
3.13. Konkretni pravni osnoviza svaku aktivnost obrade su utvrđeni u evidenciji obrade Podataka koju Društvo vodi i redovno ažurira.

Ugovori o obradi Podataka

3.14. Ugovori koje Društvo zaključuje sa svojim obrađivačima će sadržati sve relevantne odredbe propisane Zakonom i GDPR-om.

Prenos Podataka

Evidencija o obradi Podataka

3.15. U cilju poštovanja relevantnih propisa i uspostavljanja dobre prakse, Društvo vodi ažurnu evidenciju o obradi Podataka koju vrši u svojstvu rukovaoca. Društvo zadržava pravo da evidenciju o obradi Podataka izmeni, u slučaju izmene relevantnih pravnih propisa.

4. Tehničke mere

4.1. Društvo je posvećeno preduzimanju odgovarajućih tehničkih mera koje imaju za cilj da obezbede optimalnu zaštitu Podataka, u vezi sa svim kategorijama Podataka koje Društvo obrađuje.

Anonimizacija podataka i pseudonimizacija

4.2. Svi Podaci koje Društvo obrađuje su anonimizovani (enkriptovani).
4.3. Podaci koji se prikupljaju za statističke svrhe, prikupljaju se na način da se primenjuje tehnička mera pseudonimizacije.

Praksa u vezi sa radno-angažovanim licima

4.4. Društvo primenjuje utvrđenu proceduru da onemogući pristup sistemu licima koja nisu više radno angažovana od strane Društva.

Testiranje i evaluacija tehničkih mera

4.5. Društvo vrši redovno testiranje, procenu i evaluaciju tehničkih mera kako bi utvrdila da li iste omogućavaju efikasnu zaštitu Podataka koje Društvo obrađuje. Ukoliko Društvo utvrdi da postojeće tehničke mere nisu dovoljne za zaštitu integriteta podataka, Društvo će početi da primenjuje druge tehničke mere koje su odgovarajuće, te će, shodno tome, izmeniti ovu Politiku privatnosti.

5. Organizacione mere

Poverljivost

5.1. Društvo je razvilo praksu potpisivanja ugovora o poverljivosti, odnosno inkorporiranja odgovarajućih klauzula o poverljivosti u ugovore sa osobama koje su radno angažovane u Društvu ili saradnicima koji imaju pristup Podacima koje Društvo obrađuje.

Mere ograničavanja pristupa Podacima

5.2. Pristup sistemima Društva i Podacima je ograničen samo na određena lica koja obavljaju rad u određenim sektorima Društva, i to zarad obavljanja konkretnih radnih zadataka. U prilogu 2 ove Politike privatnosti se nalazi spisak lica koja imaju pravo pristupa Podacima.

Imenovanje ovlašćenog lica za zaštitu Podataka

5.3. Iako Društvo nema pravnu obavezu da imenuje ovlašćeno lice za zaštitu podataka o ličnosti, u cilju implementiranja najbolje prakse zaštite Podataka koje Društvo obrađuje, Društvo će imenovati ovlašćeno lice za zaštitu podataka.

Interni treninzi i obuke

5.4. Društvo će organizovati interne treninge, odnosno obuku lica koja dolaze u kontakt sa Podacima, i koja imaju pristup podacima.

6. Procedura u slučaju kršenja

Obaveštenje o kršenju

6.1. Obaveštavanje Poverenika o povredi podataka o ličnosti
6.1.1. Društvo je dužno da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu (u daljem tekstu: „Obaveštenje Povereniku”).
6.1.2. Ako Društvo ne postupi u roku od 72 časa od saznanja za povredu na način definisanim u tački 6.1.1. ove Politike privatnosti, Društvo je u obavezi da obrazloži razloge zbog kojih nije postupio na taj način i u tom roku.
6.1.3 Obaveštenje Povereniku mora da sadrži najmanje sledeće informacije:
a. opis prirode povrede Podataka, uključujući vrstu Podatka i približan broj lica na koja se Podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena;
b. ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
c. opis mogućih posledica povrede;
d. opis mera koje je Društvo preduzelo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.
6.1.4. Obaveštenje Povereniku se dostavlja Povereniku u pisanom obliku, neposredno ili putem pošte, a može da se dostavi i skenirani primerak obaveštenja na imejl adresu: povredapodataka@poverenik.rs.
6.2. Obaveštavanje Lica o povredi podataka o ličnosti
6.2.1. Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, Društvo je dužno da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose (u daljem tekstu: “Obaveštenje licu”).
6.2.2. U Obaveštenju licu, Društvo je dužno da na jasan i razumljiv način opiše prirodu povrede podataka, odnosno navede sledeće:
a. ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
b. opis mogućih posledica povrede;
c. opis mera koje je Društvo preduzelo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.

7. Pravo lica na koje se podaci o ličnosti odnose

7.1. Lica, iz tačke 3.1. ove Politike privatnosti, na koje se podaci o ličnosti odnose imaju sledeća prava:
7.1.1. da od Društva zahtevaju informaciju o tome da li Društvo obrađuje njegove podatke o ličnosti;
7.1.2. da zahtevaju od Društva pristup tim podacima;
7.1.3. da zahtevaju od Društva ispravku podataka;
7.1.4. da zahtevaju od Društva dopunu podataka;
7.1.5. da zahtevaju od Društva brisanje podataka:
7.1.6. da zahtevaju od Društva ograničenje obrade podataka;
7.1.7. da podnesu prigovor.
7.2. Postupak za ostvarenje prava iz tačke 7.1 ove Politike privatnosti
7.2.1. Zahtev za ostvarivanje prava oztačke 7.1. ove Politike privatnosti može biti podnet u bilo kom obliku, u pisanoj formi i to ovlašćenom licu za zaštitu podataka o ličnosti.
7.2.2. Svi Zahtevi lica iz tačke 3.1. ove Politike privatnosti koji nisu direktno upuceni ovlašćenom licu za zaštitu podataka o ličnosti bice prosleđeni ovom licu.
7.2.3. Ovlašćeno lice za zaštitu podataka o ličnosti proverava i potvrđuje identitet lica u skladu sa podacima iz Zahteva i podacima koje poseduje Društvo. Ako je potrebno, ovlašćeno lice za zaštitu podataka o ličnosti može zatražiti dodatne informacije od lica.

7.2.4. Ovlašćeno lice za zaštitu podataka o ličnosti beleži datum izvršenja provere identifikacije i specifikaciju traženih podataka.
7.2.5. Ovlašćeno lice za zaštitu podataka o ličnosti pruža tražene informacije iz Zahteva u roku od 30 dana od dana prijema Zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje ovlašćeno lice za zaštitu podataka o ličnosti je dužno da obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva.
7.2.6. Ovlašćeno lice za zaštitu podataka o ličnosti je dužno da odgovori na Zahtev bez naplaćivanja naknade od lica. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, DPO može da:
1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
2) odbije da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na ovlašćenom licu za zaštitu podataka o ličnosti.

8. Završne odredbe

8.1. Ovu Politiku privatnosti donosi direktor Društva, koji ima pravo da izvrši izmene i dopune Politike privatnosti kada za to postoji potreba. Politika privatnosti obavezuje Društvo od dana donošenja.