Skip to main content

Avature – Privacy notice

Information on processing your personal data for Onboarding process

INFORMATION OF PERSONAL DATA PROCESSING

 

Information provided by the Data Controller: Deloitte d.o.o. Beograd / Deloitte Advisory d.o.o. Beograd 1

(hereinafter the “Employer”)

In accordance with Article 23. of the Law on personal data protection ("Official Gazette of RS" No.87/2018) (hereinafter the “Personal Data Act”), the Employee acknowledges that his/her Personal Data are processed by the Employer as the Data Controller. The processing is carried under the Employment Contract between the Employee and the Employer, in connection with, or in relation to the performance of the Employee’s work for the Employer and also covers the purposes of use of the Employer’s information systems and compliance with the internal policies of DTTL member firms and their respective subsidiaries and affiliates.

1. Definitions:

(The below definitions serve for nomenclature purposes solely and in specific cases do not establish any existence of the Employment relationship in accordance with the Employment Act ("Off. Herald of RS", Nos. 24/2005, 61/2005, 54/2009, 32/2013, 75/2014, 13/2017-Decision of the CC, 113/2017 and 95/2018 - authentic interpretation) (hereinafter the “Labour Code”)

Data Controller“ shall mean the natural or legal person, public authority, agency or other body which alone or jointly with others, determines the purposes and means of the processing of Personal Data. In relation to the Employee Personal Data the Controller is his/her Employer / affiliate of Deloitte CE.

Employee” shall mean any person in Employment or in a similar Employment relationship (contract for work) or other contractual relationship with the Employer, including statutory representatives, proxies, professional advisors and consultants of the Employer.

Employment” under this information shall also include similar Employment relationships or other contractual relationships of individuals active for the Employer when applicable.

Employment Contract” under this information shall mean the contract establishing the Employment as defined above.

Personal Data” means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Processor” means a natural or legal person, public authority, agency or other body which processes Personal Data on behalf of the Data Controller.

Recipient“ means a natural or legal person, public authority, agency or another body, to which the Personal Data are disclosed. In relation to Employee Personal Data the Recipients can be e.g. Employee(-s) of Controller, Processor(-s) or Employee(-s) of Processor. Public authorities which may receive Personal Data in the framework of a particular inquiry in accordance with the law shall not be regarded as Recipients.

2. Extent of the processing:

The Employer processes the Personal Data of the Employee to the following extent:

  • Personal Data to the extent required by the relevant legislation (Labour Code and other legislation related to the Employment);
  • Personal Data submitted by the Employee before entering into the Employment relationship;
  • Personal Data relating to the Employee’s professional qualifications and experience;
  • Other Personal Data relating to the Employee’s Employment with the Employer and performance of his/her obligations related to the Employment relationship (for example: performance management data, data on trainings and e-learnings attendance, phone-call lists, usage of Deloitte devices and systems etc.); and
  • Photographs, video and audio recordings of the Employee.

3. Purpose of processing of the Personal Data by the Employer:

The purpose of processing the Personal Data is for the Employer to exercise its rights and obligations pursuant to Labour Code, the Employment Contract and other relevant legislation, in particular, with regard to maintaining HR and payroll agenda, to acts relating to performance of the Employee’s obligations related to the Employment, Employee trainings and education, benefits, and connected to offering and providing the Employer’s services to the clients as specified in more detail in paragraph below.

The Employer is also entitled to process the Personal Data for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system. Processing in this extent is based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality. This includes, among others, prevention and remedy of any technical problems, prevention and suppression of activities that are intentionally illegal, contrary to the public order or that are wilfully damaging to any third party’s rights and dignity, prevention and suppression of any violation of intellectual property rights as well as confidentiality and integrity of Employer’s data, the security and good technical functioning of its systems and the costs relative thereto, as well as the material protection of all Employer’s resources.

4. Recipients of Personal Data:

The Employer is entitled to provide Employee’s Personal Data to the following Recipients that are the Employer's Data Processors, who process the Personal Data on behalf of the Employer, under the conditions and to the extent agreed with the Employer in a written authorisation/contract. In particular, for the purpose of the Employee’s records in the HR systems, processing of his/her HR and payroll records, providing Employee benefits and also to provide IS services, document archiving, e-mail services and other hosted applications services and to the extent necessary for the performance of rights and obligations arising from the Employment relationship between the Employee and the Employer or as agreed between the Employee and the Employer as well as for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality.

The list of the Employer's Data Processors within Deloitte CE is published and accessible here and the list of the local Employer’s Data Processors is published and accessible here.

Paper versions of the above-mentioned lists are available at the local HR department and are provided to the Employee upon his/her request.

The Personal Data of Employee may also be disclosed to the competent authorities as authorized by the applicable laws.

5. Requirements for exporting of data

The Employee is hereby informed that the Employer may provide the Employee’s Personal Data for the purposes as specified above to Deloitte CE and DTTL member firms and their respective subsidiaries and affiliates during the term of the Employment, to countries that are signatories to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, as well as in countries that are on the list prescribed by article 64. paragraph 7 of the Personal Data Act. In the event of transfer regulated by article 65. and 67 or article 69. paragraph 2. of the Personal Data Act, such transfer will be conducted in accordance with the law, and on the basis of established proper level of protection. In specific situations such as e.g. mobility programme or cross-border cooperation provision, Employee’s Personal Data can be transferred to the Recipient outside the EU and it is responsibility of such Recipient to comply with the local law when processing the Personal Data.

6. Data Retention

The data will be processed until the purposes of processing such Personal Data are fulfilled; or as required by the applicable legislation. The Employer is entitled to process the Personal Data of the Employee for a period of three years after the Employment relationship is terminated or as required by the applicable legislation. After this period expires, Personal Data of Employee will be anonymised or permanently deleted, unless otherwise is regulated by the applicable legislation. Employee’s records will be kept starting from the day of commencement of work and will stop upon termination/expiry of employment. In accordance with the Law on employment records (Off. Herald of FRJ no. 46/96, and ("Off. Herald of RS", no. 101/2005 – other law, and 36/2009 – other law), employment records, that include Employee’s Personal Data, are permanently kept.

The Employee is responsible for the accuracy and update of the Personal Data he/she has provided to the Employer. The Employee undertakes to notify the Employer of any changes in the Personal Data provided without undue delay.

7. Confidentiality

During and after the Employment relationship, the Employee is obliged to keep confidential the Personal Data of the Employer’s Employees, clients, external suppliers, and other natural persons met by the Employee in the course of his/her Employment, which are processed in connection with his/her job duties performed for the Employer; he/she may not use the Personal Data for personal purposes, and he/she may not publish them or make them accessible without the Employer’s or the particular natural person´s consent. Other obligations of the Employee related to work with Personal Data are specified in the Employer’s internal policies and regulations, of which the Employee was informed and which he/she undertakes to comply with.

8. Data Security

Employer shall establish technological, physical, administrative and procedural safeguards all in line with the industry accepted standards in order to protect and ensure the confidentiality, integrity or accessibility of the Personal Data processed; prevent the unauthorized use of or unauthorized access to the Personal data or prevent a Personal Data breach (security incident) in accordance with Deloitte instructions, policies and applicable laws. Deloitte is a holder of ISO 27001 certification – widely recognized global information standard.

9. Data Subjects' Rights

Employee has right to:

  • request access to your personal data (and request a copy of the personal data that we process), in accordance with article 26 of the Personal Data Act;
  • request us to update and correct your personal data (right to rectification), in accordance with article 29. of the Personal Data Act;
  • request us to delete your personal data (where possible), in accordance with article 30. of the Personal Data Act;
  • require a restriction on the processing of your data, in accordance with article 31. of the Personal Data Act;
  • transfer of personal data in accordance with article 36. of the Personal Data Act, and

Employee may object to the processing, in accordance with article 37. of the Personal Data Act.

You can enforce all rights described here can be enforced by sending e-mail to: CERSHR@deloittece.com , or by contacting:

Jelena Palošek, Senior Legal Manager

CERSrrivacy@deloittece.com

It is also the right of each Employee, in accordance with article 82. of the Personal Data Act, to lodge a complaint with the Commissioner for information of public importance and personal data protection, in case you are of an opinion that the processing of your personal data infringes the Personal Data Act https://www.poverenik.rs/sr/ .

To learn more about your data subject’s right, please read 1604.03 Data Subjects’ Rights

Execution policy available here.

By signing, the Employee confirms that he/she was informed of:

  • his/her rights arising from the Personal Data Act and other relevant legislation;
  • the fact that the provision of Personal Data processed under this information is compulsory.


1 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients. Please see www.deloitte.com/about  to learn more. 

OBAVEŠTENJE O OBRADI LIČNIH PODATAKA

Informacije dostavlja Rukovalac: Deloitte d.o.o. Beograd / Deloitte Advisory d.o.o. Beograd1

(dalje u tekstu: “Poslodavac”)

U skladu sa članom 23. Zakona o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 87/2018) (dalje u tekstu: “Zakon”), Poslodavac kao Rukovalac podataka obaveštava Zaposlenog o obradi njegovih Ličnih podataka od strane Poslodavca. Obrada podataka se vrši u skladu sa odredbama Ugovora o radu između Zaposlenog i Poslodavca, u vezi sa ili za potrebe obavljanja rada Zaposlenog za Poslodavca, a takođe i za potrebe korišćenja Poslodavčevih informacionih sistema i obezbeđenja usklađenosti sa internim politikama društava članova DTTL i njihovih zavisnih i povezanih lica.

1. Definicije:

(Definicije termina navedene u tekstu koji sledi date su isključivo za potrebe ovog dokumenta i ne mogu u konkretnim slučajevima ukazivati na postojanje ili uspostavljanje eventualnog radnog odnosa u skladu za važećim Zakonom o radu ("Sl. glasnik RS", br. 24/2005, 61/2005, 54/2009, 32/2013, 75/2014, 13/2017 - odluka US, 113/2017 i 95/2018 - autentično tumačenje) (dalje u tekstu: “Zakon o radu”))

Rukovalac podataka” označava fizičko ili pravno lice, državni organ, instituciju ili neki drugi organ koji, samostalno ili zajedno sa drugim licima ili organima, utvrđuje svrhe i sredstva za obradu Ličnih podataka. U odnosu na Lične podatke Zaposlenog, Rukovalac podataka je njegov Poslodavac / firma članica Deloitte-a CE grupe.

Zaposleni” označava svaku osobu u radnom odnosu ili drugoj vrsti radnog angažovanja sa Poslodavcem, uključujući zakonske predstavnike, zastupnike, stručne saradnike i savetnike Poslodavca.

Radni odnos” za potrebe ovog dokumenta, pored radnog odnosa u smislu Zakona o radu, obuhvata i radno angažovanje koje nije radni odnos (ugovor o privremenim i povremenim poslovima, ugovor o stručnom usavršavanju, ugovor o delu i sl.) i druge ugovorne odnose sa fizičkim licima koja se angažuju po potrebi Poslodavca.

Ugovor o radu” za potrebe ovog dokumenta, označava ugovor kojim se uspostavlja i reguliše Radni odnos definisan u tekstu iznad.

Lični podaci” je termin kojim se označavaju sve informacije koje se odnose na fizičko lice koje je identifikovano ili lice koje je moguće identifikovati; lice koje je moguće identifikovati je lice čija je identifikacija moguća, direktna ili indirektna, na osnovu identifikacionog podatka kao što je ime, matični broj, podatak o prebivalištu, podatak za identifikaciju na internetu ili jedan ili više činilaca specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog fizičkog lica.

Obrađivač” označava fizičko ili pravno lice, državni organ, instituciju ili neki drugi organ koji obrađuje Lične podatke u ime i za Rukovaoca podataka.

Primalac“ označava fizičko ili pravno lice, državni organ, instituciju ili neki drugi organ kojem se obelodanjuju Lični podaci. U odnosu na Lične podatke Zaposlenog, Primaoci mogu biti Zaposleni Rukovaoca, Obrađivač(i) ili Zaposleni Obrađivača. Državni organi koji Lične podatke mogu primiti u okviru određene istrage, u skladu sa zakonskim propisima, ne smatraju se Primaocima.

2. Vrste podataka o ličnosti koji se obrađuju:

Poslodavac obrađuje Lične podatke Zaposlenog u sledećem obimu:

  • Lične podatke u meri u kojoj se obrada zahteva važećim relevantnim zakonskim propisima (Zakon o radu, Zakon o evidencijama u oblasti rada, Zakon o bezbednosti i zdravlju na radu kao i drugi zakoni i propisi vezani za Radni odnos);
  • Lične podatke koje Zaposleni dostavi pre stupanja u Radni odnos;
  • Lične podatke koji se odnose na stručnu spremu i iskustvo;
  • Ostale Lične podatke u vezi sa Radnim odnosom Zaposlenog kod Poslodavca i izvršavanjem njegovih obaveza iz Radnog odnosa (npr.: podaci o rezultatima rada, podaci o pohađanju obuka i on-line treninga, spiskovi telefonskih poziva, itd.); i
  • Fotografije, video i audio snimci Zaposlenog.

3. Svrha i pravni osnov obrade:

Poslodavac obrađuje Lične podatke Zaposlenog u svrhu ostvarivanja prava i obaveza u skladu sa Zakonom o radu, Ugovorom o radu i drugim relevantnim propisima, pre svega u vezi sa vođenjem evidencija Službe za ljudske resurse i obračunom zarada, merama koje se odnose na izvršenje obaveza Zaposlenog koje proizlaze iz Radnog odnosa, edukaciju i obuke Zaposlenih, naknade Zaposlenima, kao i u vezi sa ponudom i pružanjem usluga Poslodavca klijentima, kako je detaljnije objašnjeno u narednom pasusu.

Poslodavac takođe ima pravo da Lične podatke obrađuje u cilju provere da li Zaposleni postupa u skladu sa relevantnim politikama Poslodavca koje se odnose na sigurnost uređaja i sistema Poslodavca. Obrada u ovom obimu zasniva se na legitimnom interesu Poslodavca da obezbedi kontinuitet poslovanja i zaštitu ekonomskih, komercijalnih i finansijskih interesa, a posebno u pogledu poštovanja pravila o poverljivosti. Ovo između ostalog uključuje prevenciju i otklanjanje bilo kakvih tehničkih problema; zatim sprečavanje i suzbijanje aktivnosti koje su u suprotnosti sa prinudnim propisima, javnim poretkom i dobrim običajima, odnosno kojima se sa namerom povređuju prava i integritet bilo koje treće strane; sprečavanje i suzbijanje povreda prava intelektualne svojine; zaštitu poverljivosti i nepovredivost podataka Poslodavca; bezbednost i dobro tehničko funkcionisanje njegovih sistema i troškova koji su sa tim povezani; kao i materijalnu zaštitu svih resursa Poslodavca.

4. Primaoci podataka:

Poslodavac ima pravo da Lične podatke dostavi sledećim Primaocima koji su Obrađivači podataka Poslodavca, a koji obrađuju Lične podatke u ime Poslodavca, pod uslovima i u obimu koji je usaglašen sa Poslodavcem u formi pisanog ovlašćenja/ugovora. Konkretno, za potrebe evidencije o Zaposlenom u sistemima Službe za ljudske resurse, kadrovske evidencije i evidencije o zaradama Zaposlenog, za potrebe obračuna naknada i drugih primanja Zaposlenog, kao i za pružanje informatičkih usluga, arhiviranje dokumentacije, usluge elektronske pošte i drugih hostovanih aplikacija u meri neophodnoj za ostvarenje prava i ispunjavanje obaveza koje proizlaze iz Radnog odnosa ugovorenog između Zaposlenog i Poslodavca ili u skladu sa sporazumom između Zaposlenog i Poslodavca, kao i u svrhu provere pridržavanja Zaposlenog odgovarajućim Poslodavčevim politikama koje se odnose na sigurnost uređaja i sistema Poslodavca zasnovane na legitimnom interesu Poslodavca da obezbedi kontinuitet poslovanja i zaštitu ekonomskih, komercijalnih i finansijskih interesa, a posebno u pogledu poštovanja pravila o poverljivosti.

Spisak Obrađivača podataka u ime Poslodavca u okviru Deloitte-a CE objavljen je i dostupan na sledećoj adresi, a lokalnih Obrađivača podataka u ime Poslodavca, objavljen je i dostupan na sledećoj adresi.

Štampane verzije gore navedenih spiskova su dostupne u lokalnoj Službi za ljudske resurse i daju se na uvid Zaposlenom na lični zahtev.

Lični podaci Zaposlenog takođe se mogu obelodanjivati nadležnim organima i službama u skladu sa važećim zakonskim propisima.

5. Uslovi za iznošenje podataka

Zaposleni se ovim putem obaveštava da Poslodavac može Lične podatke Zaposlenog prosleđivati u prethodno navedene svrhe Deloitte-u CE i društvima članovima DTTL, kao i njihovim zavisnim i pridruženim društvima, tokom trajanja Radnog odnosa, u države članice Konvencije o zaštiti lica u odnosu na automatsku obradu ličnih podataka Saveta Evrope, odnosno u države koje se nalaze na listi iz člana 64. stav 7. Zakona. U slučaju prenosa iz čl. 65. i 67. ili člana 69. stava 2. Zakona, prenos se obavlja u skladu sa važećim zakonom, a zasniva na primeni odgovarajućih mera zaštite. U specifičnim situacijama kao što su npr. upućivanje zaposlenih na rad u inostranstvo ili kod drugih poslodavaca ili prekogranična saradnja, Lični podaci Zaposlenog mogu biti prosleđeni Primaocu izvan države u skladu sa navedenim uslovima, dok je Primalac odgovoran za poštovanje i primenu lokalnih zakonskih propisa prilikom obrade Ličnih podataka.

6. Rok čuvanja podataka

Podaci će biti predmet obrade dok se svrhe obrade Ličnih podataka ne ispune ili dok to zahtevaju važeći zakonski propisi. Poslodavac ima pravo da obrađuje Lične podatke Zaposlenog tokom perioda od tri godine nakon prestanka radnog odnosa ili tokom perioda definisanog važećim zakonskim propisima. Nakon isteka navedenog perioda, Lični podaci Zaposlenog će biti anonimizovani ili trajno uklonjeni, ukoliko to nije u suprotnosti sa važećim propisima. Evidencija za svako zaposleno lice počinje da se vodi danom početka rada, a prestaje danom prestanka radnog odnosa. U skladu sa Zakonom o evidencijama u oblasti rada ("Sl. list SRJ", br. 46/96 i "Sl. glasnik RS", br. 101/2005 - dr. zakon i 36/2009 - dr. zakon) podaci iz propisanih evidencija o zaposlenim licima, koji uključuju Lične podatke o Zaposlenom, čuvaju se trajno.

Zaposleni je odgovoran za tačnost i ažuriranje Ličnih podataka koje je dostavio Poslodavcu. Zaposleni se obavezuje da bez odlaganja obavesti Poslodavca o svim promenama Ličnih podataka.

7. Poverljivost

Tokom i nakon Radnog odnosa, Zaposleni je u obavezi da poštuje i štiti poverljivost podataka o ličnosti Poslodavčevih Zaposlenih, klijenata, eksternih saradnika i dobavljača, kao i drugih fizičkih lica sa kojima dolazi u kontakt tokom svog Radnog odnosa, a koji se obrađuju u vezi sa radnim zadacima i dužnostima koje Zaposleni obavlja za Poslodavca. Zaposlenom je zabranjeno da koristi podatke o ličnosti za svoje lične potrebe, objavljuje ih ili ih čini dostupnim bez saglasnosti Poslodavca ili fizičkog lica kojem podaci pripadaju. Ostale obaveze Zaposlenog u vezi sa upravljanjem poverljivim podacima i podacima o ličnosti definisane su internim politikama i propisima Poslodavca, a Zaposleni je o njima obavešten i obavezuje se da će ih poštovati.

8. Mere zaštite

Poslodavac je uspostavio tehničke, organizacione i kadrovske mere zaštite u skladu sa standardima prihvaćenim u privrednoj grani u kojoj posluje u cilju zaštite i osiguranja poverljivosti, integriteta i dostupnosti Ličnih podataka koji su predmet obrade. Poslodavac će sprečiti neovlašćenu upotrebu ili neovlašćen pristup Ličnim podacima ili sprečiti kršenje obaveze o zaštiti Ličnih podataka (bezbednosni incident) u skladu sa uputstvima i politikama Deloitte-a i važećim zakonskim propisima. Deloitte poseduje sertifikat o standardu ISO 27001, opšteprihvaćenom međunarodnom standardu o zaštiti i bezbednosti informacija.

9. Prava nosilaca Ličnih podataka

Zaposleni ima pravo da od Poslodavca zahteva:

  • pristup Ličnim podacima (uključujući i kopiju ličnih podataka koji se obrađuju), u skladu sa članom 26. Zakona;
  • ispravku Ličnih podataka u skladu sa čl. 29. Zakona;
  • brisanje u skladu sa čl. 30. Zakona;
  • ograničenje obrade u skladu sa članom 31. Zakona;
  • prenošenje podataka u skladu sa čl. 36. Zakona (prijem kopije ličnih podataka dostavljanih Poslodavcu, u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i prenošenje takvih podataka drugom Rukovaocu), i

Zaposleni ima pravo na prigovor u skladu sa članom 37. Zakona.

Sva navedena prava Zaposleni može ostvariti slanjem elektronske pošte lokalnoj Službi za ljudske resurse na adresu CERSHR@deloittece.com ili na sledeće kontakt podatke:
Podaci za kontakt u vezi sa zaštitom podataka o ličnosti:
Jelena Palošek, Viši Rukovodilac pravnih poslova
CERSrrivacy@deloittece.com

Zaposleni takođe može kontaktirati CERSrrivacy@deloittece.com za sve informacije u vezi sa obradom Ličnih podataka kao informacije o primenjenim merama zaštite u slučaju prenosa podataka iz čl. 65. i 67. ili člana 69. stava 2. Zakona.

Zaposleni ima pravo da u skladu sa članom 82. Zakona podnesete pritužbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, ako smatra da je obrada podataka o ličnosti izvršena suprotno odredbama Zakona https://www.poverenik.rs/sr/.

Za više informacija o pravima za lice na koje se podaci odnose, pročitajte:

1604.03 Data Subjects’ Rights Execution policy koja je dostupna ovde.

Svojim potpisom Zaposleni potvrđuje da je o obavešten:

  • o pravima koja proizlaze iz Zakona i drugih relevantnih propisa;
  • da je dostavljanje Ličnih podataka, koji se obrađuju u skladu sa ovim obaveštenjem, obavezno.


1 Deloitte se odnosi na jedno ili više lica Deloitte Touche Tohmatsu Limited („DTTL”), njegovu globalnu mrežu društava članova i njihove povezane entitete (zajedno: „Deloitte organizacija"). DTTL (takođe pod nazivom: „Deloitte Global”) i sva njegova društva članovi i povezana lica predstavljaju pravno zasebne i samostalne entitete, koji jedni prema drugima ne mogu biti obavezani niti odgovorni u odnosu na treća lica. DTTL i svako DTTL društvo član i povezani entitet odgovora samo za svoja dela i propuste, i nije odgovoran za postupke drugih. Deloitte ne pruža usluge klijentima. Za više informacija, molimo vas posetite www2.deloitte.com/rs/sr/o-nama