Обавештење о обради података о личности лица чији су подаци унети приликом коришћења мобилне апликације „Моје еСандуче“ (у даљем тексту: Апликација).

Овим обавештењем информишете се о томе ко и у које сврхе обрађује податке о личности, које Апликацијаприликом Ваше пријаве обрађује за потребе аутентикације преко Портала за електорнску идентификацију (у даљем тексту Портал еИД) и мобилне апликације ConsentID.

Обавештење се пружа у складу са Законом о заштити података о личности („Службени гласник РС”, број 87/18).

Апликација је успостављена са циљем да грађанимаомогући једноставан, сигуран и брз приступЈединственомелектронском сандучићу,без претходног пријављивања на Портал еУправа Републике Србије. Апликација, као вид подршке дигитализацији, има за циљ да грађанима обезбеди стабилније, практичније и доступније решење са интуитивнијим апликативним софтвером, пружајући напредније корисничко искуство.

Поједини појмови у Обавештењу имају значење ближе наведено у члану 4. Закона о заштити података о личности, и то:

Податак о личности је сваки податак који се односи на физичко лице чији је идентитет одређен или одредив, непосредно или посредно, посебно на основу ознаке идентитета, као што је име и идентификациони број, података о локацији, идентификатора у електронским комуникационим мрежама или једног, односно више обележја његовог физичког, физиолошког, генетског, менталног, економског, културног и друштвеног идентитета;

Руковалацје физичко или правно лице, односно орган власти који самостално или заједно са другима одређује сврху и начин обраде. Законом којим се одређује сврха и начин обраде, може се одредити и руковалац или прописати услови за његово одређивање;

Oбрађивач је физичко или правно лице, односно орган власти који обрађује податке о личности у име руковаоца;

Tрећа страна је физичко или правно лице, односно орган власти, који није лице на које се подаци односе, руковалац или обрађивач, као ни лице које је овлашћено да обрађује податке о личности под непосредним надзором руковаоца или обрађивача;

Пристанак лица на које се подаци односе је свако добровољно, одређено, информисано и недвосмислено изражавање воље тог лица, којим то лице, изјавом или јасном потврдном радњом, даје пристанак за обраду података о личности који се на њега односе;

Прималацје физичко или правно лице, односно орган власти коме су подаци о личности откривени, без обзира да ли се ради о трећој страни или не, осим ако се ради о органима власти који у складу са законом примају податке о личности у оквиру истраживања одређеног случаја и обрађују ове податке у складу са правилима о заштити података о личности која се односе на сврху обраде.

Пријава на Апликацију

Пријава на Апликацију врши се путем корисничког налога регистрованог на Порталу еИД уз коришћење мобилне апликацијеConsentID, што значи да је неопходно да се претходно регуструјете кориснички налог на Порталу еИД, као и да инсталирате и активиратеConsentID на свом мобилном уређају. Све детаље у вези са регистрацијом налога на еИД и активацијиConsentID можете видети на адресиeid.gov.rs у делу Помоћ.

Приликом процеса пријаве Апликација у„Профилу корисника“ евидентира следеће податке о кориснику:име, презиме, јединствени матични бројграђанина и адресу електронске поште, који се обрађују од стране Обрађивача, уз Ваш претходнипристанак.

Имајући у виду дасе током пријаве у Апликацију и током њеног активног коришћења (а најдуже 10 минута уколико корисник није активан) подаци о личности корисника Апликације доступни у секцији „Профил корисника“, пријављивањем дајете пристанак за обраду податка о личности, у складу са чланом 15. Закона о заштити података о личности.

Подаци о личности, који се обрађују током процеса пријаве и активног коришћења Апликације заштићени су сигурном везом, у складу са нивоом технолошких достигнућа.

Канцеларија за информационе технологије и електронску управу обезбеђује техничке услове за несметани рад Апликације, обавља послове који се односе на чување, спровођење мера заштите и обезбеђивања сигурности и безбедности података, у складу са прописима којима се уређују електронска управа и информациона безбедност и руковалацје података о личности у складу са Законом о заштити података о личности.

Предмет, сврха и правни основ обраде

Предмет обраде података о личности који сe користе у процесу пријаве на Апликацију и аутентикације високим нивоом поузданостису следећи: име и презиме корисника Апликације, јединствени матични број корисника и имејл адреса (корисничко име). Подаци о личности су преузети из налога који је регистрован и преузет приликом аутентикације преко Портала еИД.

Сврха обраде података је пријава на Апликацију високим нивоом поузданости путем корисничког налога на Порталу еИД и мобилне апликацијеConsentID.У сврху пријаве на Апликацију, као корисник, бићете преусмерени на страницу Портал еИД за пријаву мобилном апликацијомConsentID. Неопходно је да унесете своје корисничко име, односно адресу електронске поште која је регистрована приликом регистрације вашег налога на Порталу ИД.

Правни основ садржан је учлану 38а. Закона о министарствима ("Сл. гласник РС", бр. 128/2020, 116/2022 и 92/2023 - др. закон) и чл. 36. Закона о електронској управи ("Сл. гласник РС", бр. 27/2018) на основу којих јеКанцеларија надлежна да обезбеди повезивање атрибута електронске идентификације корисника између различитих имаоца система за управљање електронском идентификацијом у електронској управи, односно да омогући проверу Вашег идентитета када користите електронску управу у различитим информационим системима.

Такође, правни основ је садржан иу Уставу, ратификованим међународним уговорима и позитивним законским и подзаконским актима.

Рок чувања података

Подаци о личности који се налазе у секцији „Профил корисника“ преузимају се из изворног система за потребе аутентикације и током активног коришћења Апликације исти се обрађују (када се корисник одјави или уколико 10 минута није активан у Апликацији, подаци о лицу се бришу).

Мере заштите

У складу са одредбама чл. 42. и чл. 50. Закона о заштити података о личности обезбеђена је заштита од неовлашћене или незаконите обраде, као и од случајног губитка, уништења или оштећења података о личности, уз примену одговарајућих техничких, организационих и кадровских мера.

Права која припадају лицу чији се подаци обрађују

Чланом 23. Закона о заштити података о личности прописане су информације које се пружају кад се подаци о личности прикупљају од лица на које се односе и то:

Ако се подаци о личности прикупљају од лица на које се односе, руковалац је дужан да у тренутку прикупљања података о личности том лицу пружи следеће информације:

1. о идентитету и контакт подацима руковаоца, као и његовог представника, ако је он одређен;
2. контакт податке лица за заштиту података о личности, ако је оно одређено;
3. о сврси намераване обраде и правном основу за обраду;
4. о постојању легитимног интереса руковаоца или треће стране, ако се обрада врши на основу члана 12. став 1. тачка 6) овог закона;
5. о примаоцу, односно групи прималаца података о личности, ако они постоје;
6. о чињеници да руковалац намерава да изнесе податке о личности у другу државу или међународну организацију, као и о томе да ли се та држава или међународна организација налази на листи из члана 64. став 7. овог закона, а у случају преноса из чл. 65. и 67. или члана 69. става 2. овог закона, о упућивању на одговарајуће мере заштите, као и о начину на који се лице на које се подаци односе може упознати са тим мерама.

Уз информације из става 1. овог члана, руковалац је дужан да у тренутку прикупљања података о личности лицу на које се подаци односе пружи и следеће додатне информације које могу да буду неопходне да би се обезбедила поштена и транспарентна обрада у односу на то лице:

1. о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;
2. о постојању права да се од руковаоца захтева приступ, исправка или брисање његових података о личности, односно постојању права на ограничење обраде, права на приговор, као и права на преносивост података;
3. о постојању права на опозив пристанка у било које време, као и о томе да опозив пристанка не утиче на допуштеност обраде на основу пристанка пре опозива, ако се обрада врши на основу члана 12. став 1. тачка 1) или члана 17. став 2. тачка 1) овог закона; 
4. о праву да се поднесе притужба Поверенику;
5. о томе да ли је давање података о личности законска или уговорна обавеза или је давање података неопходан услов за закључење уговора, као и о томе да ли лице на које се подаци односе има обавезу да да податке о својој личности и о могућим последицама ако се подаци не дају;
6. о постојању аутоматизованог доношења одлуке, укључујући профилисање из члана 38. ст. 1. и 4. овог закона, и, најмање у тим случајевима, сврсисходне информације о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.

Ако руковалац намерава да даље обрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, руковалац је дужан да пре започињања даље обраде, лицу на које се подаци односе, пружи информације о тој другој сврси, као и све остале битне информације из става 2. овог члана.

Ако је лице на које се подаци односе већ упознато са неком од информација из ст. 1. до 3. овог члана, руковалац нема обавезу пружања тих информација.

Одредбе ст. 1. до 4. овог члана не примењују се на обраду података коју врше надлежни органи у посебне сврхе.

Чланом 24. Закона о заштити података о личности прописане су информације које се пружају кад се подаци о личности не прикупљају од лица на које се односе и то:

Ако се подаци о личности не прикупљају од лица на које се односе, руковалац је дужан да лицу на које се подаци односе пружи следеће информације:

1. о идентитету и контакт подацима руковаоца, као и његовог представника, ако је он одређен;
2. контакт податке лица за заштиту података о личности, ако је оно одређено;
3. о сврси намераване обраде и правном основу за обраду;
4. о врсти података који се обрађују;
5. о примаоцу, односно групи прималаца података о личности, ако они постоје;
6. о чињеници да руковалац намерава да изнесе податке о личности у другу државу или међународну организацију, као и о томе да ли се ова држава, односно међународна организација налази на листи из члана 64. став 7. овог закона, а у случају преноса из чл. 65. и 67. или члана 69. став 2. овог закона, о упућивању на одговарајуће мере заштите, као и начину на који се лице може упознати са тим мерама.

Уз информације из става 1. овог члана, руковалац је дужан да лицу на које се подаци односе пружи и следеће додатне информације које могу да буду неопходне да би се обезбедила поштена и транспарентна обрада у односу на лице на које се подаци односе:

1. о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;
2. о постојању легитимног интереса руковаоца или треће стране, ако се обрада врши на основу члана 12. став 1. тачка 6) овог закона;
3. о постојању права да се од руковаоца захтева приступ, исправка или брисање података о његовој личности, односно права на ограничење обраде, права на приговор на обраду, као и права на преносивост података;
4. о постојању права на опозив пристанка у било које време, као и о томе да опозив пристанка не утиче на допуштеност обраде на основу пристанка пре опозива, ако се обрада врши на основу члана 12. став 1. тачка 1) или члана 17. став 2. тачка 1) овог закона; 5) о праву да се поднесе притужба Поверенику;
5. о извору из ког потичу подаци о личности и, према потреби, да ли подаци потичу из јавно доступних извора;
6. о постојању аутоматизованог доношења одлуке, укључујући профилисање из члана 38. ст. 1. и 4. овог закона, и, најмање у тим случајевима, сврсисходне информације о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.

Руковалац је дужан да информације из ст. 1. и 2. овог члана пружи:

1. у разумном року после прикупљања података о личности, а најкасније у року од 30 дана, узимајући у обзир све посебне околности обраде;
2. најкасније приликом успостављања прве комуникације, ако се подаци о личности користе за комуникацију са лицем на које се односе;
3. најкасније приликом првог откривања података о личности, ако је предвиђено откривање података о личности другом примаоцу.

Ако руковалац намерава да даље обрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, руковалац је дужан да пре започињања даље обраде, лицу на које се подаци односе, пружи информације о тој другој сврси, као и све остале битне информације из става 2. овог члана.

Руковалац није дужан да лицу на које се односе подаци о личности пружи информације из ст. 1. до 4. овог члана ако:

1. лице на које се подаци о личности односе већ има те информације;
2. је пружање таквих информација немогуће или би захтевало несразмеран утрошак времена и средстава, а нарочито у случају обраде у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања, као и у статистичке сврхе, ако се примењују услови и мере из члана 92. став 1. овог закона или ако је вероватно да би извршење обавеза из става 1. овог члана онемогућило или битно отежало остваривање сврхе обраде. У тим случајевима руковалац је дужан да предузме одговарајуће мере заштите права и слобода, као и легитимних интереса лица на које се подаци односе, што укључује и јавно објављивање информација;
3. је прикупљање или откривање података о личности изричито прописано законом којим се обезбеђују одговарајуће мере заштите легитимних интереса лица на које се подаци односе;
4. се поверљивост података о личности мора чувати у складу са обавезом чувања професионалне тајне која је прописана законом.

Одредбе ст. 1. до 5. овог члана не примењују се на обраду података коју врше надлежни органи у посебне сврхе.

Руковаоци и обрађивач

Канцеларија за информационе технологије и електронску управу је руковалац података о личности, у смислу одредби Закона о заштити података о личности.

Лице на које се подаци о личности односе има право да руковаоца захтева приступ, исправку или брисање његових података о личности, односно право на ограничење обраде, право на приговор, као и право на преносивост података.

Такође, узимајући у обзир да Апликација чува и обрађује Ваше личне податке само током процеса аутентикације и у периоду када је активно користите, уколико желите да податке обришете, односно учините их недоступним на мобилној апликације довољно је да се одјавите из Апликације или да је деинсталирате.

Додатна обавештења

Подаци о личности прикупљени овим путем неће се износити из Републике Србије.

Лице на које се подаци о личности односе има право да од руковаоца захтева приступ, исправку и допуну.

Ако руковалац намерава да даље обрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, руковалац је дужан да пре започињања даље обраде, лицу на које се подаци односе, пружи информације о тој другој сврси, као и све остале битне информације, сем уколико је ово лице већ упознато са овим информацијама. Руковалац је дужан да ове информације пружи у разумном року, а најкасније у року од 30 дана.

Лица на које се подаци односе могу се обратити лицу за заштиту података о личности у Канцеларији за информационе технологије и електронску управу, на адресу електронске поште: lzzpol@ite.gov.rs, у вези са свим питањима која се односе на обраду податка о личности, као и у вези са остваривањем својих права прописаних законом.

Свако лице има право да у складу са чланом 82. Закона о заштити података о личности поднесе притужбу Поверенику за информације од јавног значаја и заштиту података о личности, ако сматра да је обрада података о личности извршена супротно одредбама овог закона.