Politika Privatnosti

Uvod

VrtićMoj ("mi", "nas", "naša", ili "kompanija") je tehnološka platforma koja pruža cloud-based rešenje za upravljanje vrtićima. Važno je napomenuti da VrtićMoj ne prikuplja lične podatke direktno od korisnika, već služi kao procesor podataka (Data Processor) u skladu sa GDPR terminologijom.

VrtićMoj je proizvod kompanije Init.d services doo - tehnološke kompanije specijalizovane za razvoj naprednih cloud-based rešenja. Init.d services doo ima dugogodišnje iskustvo u oblasti zaštite podataka, bezbednosti i GDPR compliance-a, što garantuje najviše standarde u upravljanju i zaštiti ličnih podataka kroz VrtićMoj platformu.

Predškolske ustanove koje koriste našu platformu su kontrolori podataka (Data Controllers) i oni su odgovorni za prikupljanje, obradu i zaštitu ličnih podataka dece, roditelja i zaposlenih. Mi pružamo sigurnu infrastrukturu za skladištenje i obradu podataka u njihovo ime.

Ova politika objašnjava kako funkcioniše naša platforma u kontekstu zaštite podataka i kakve su naše obaveze kao procesora podataka prema Opštoj uredbi o zaštiti podataka (GDPR 2016/679) i Zakonu o zaštiti podataka o ličnosti Republike Srbije.

Naša uloga kao Procesora Podataka

VrtićMoj platforma funkcioniše isključivo kao procesor podataka (Data Processor) što znači:

• Ne prikupljamo podatke: Sve lične podatke u sistem unose ovlašćeni predstavnici vrtića
• Obrađujemo po instrukcijama: Podatke obrađujemo isključivo na osnovu instrukcija kontrolora podataka (vrtića)
• Obezbeđujemo infrastrukturu: Pružamo sigurnu tehničku infrastrukturu za skladištenje i obradu
• Poštujemo ograničenja: Ne koristimo podatke za sopstvene potrebe ili u druge svrhe

Podaci koji se skladište na našoj platformi

Kroz našu platformu, vrtići kao kontrolori podataka skladište sledeće kategorije podataka:

Lični podaci dece

• Identifikacijski podaci: ime, prezime, datum rođenja, JMBG
• Kontakt podaci roditelja: imena, telefoni, email adrese, adrese
• Podaci o aktivnostima: učešće u aktivnostima, fotografije (sa pristankom roditelja)
• Kontakt za hitne slučajeve: imena i brojevi telefona kontakt osoba

Posebne kategorije podataka

• Zdravstveni podaci: informacije o alergijama, medicinskim ograničenjima dece
• Napomena: Ovi podaci se skladište isključivo uz pristanak roditelja koji daju vrtići kao kontrolori podataka

Tehnički podaci

• Pristupni logovi: IP adrese, vreme pristupa, device informacije
• Podaci o korišćenju: kako se platforma koristi (anonimno i agregatno)

Kako se podaci obrađuju

Kao procesor podataka, mi podatke obrađujemo isključivo u sledeće svrhe:

• Pružanje usluge: Omogućavanje rada aplikacije i svih njenih funkcionalnosti
• Skladištenje: Sigurno čuvanje podataka na cloud serverima
• Backup i oporavak: Kreiranje rezervnih kopija radi zaštite od gubitka podataka
• Tehnička podrška: Rešavanje tehničkih problema i održavanje sistema
• Bezbednost: Zaštita od neovlašćenog pristupa i cyber napada

Važno: Ne koristimo podatke za marketing, analitiku, profiliranje ili bilo koje druge svrhe van pružanja usluge.

Vaša prava - Kako ih ostvariti

S obzirom da smo procesor podataka, vaša prava prema GDPR-u treba da ostvarujete direktno preko vrtića koji pohađa vaše dete, jer je vrtić kontrolor vaših podataka.

Vrtić kao kontrolor podataka je odgovoran za:

• Pružanje pristupa vašim podacima (član 15 GDPR)
• Ispravku netačnih podataka (član 16 GDPR)
• Brisanje podataka na zahtev (član 17 GDPR)
• Ograničavanje obrade (član 18 GDPR)
• Transfer podataka (član 20 GDPR)
• Odgovaranje na prigovore (član 21 GDPR)

Ako vrtić zatraži od nas izvršavanje bilo kog od ovih zahteva, mi ćemo odmah postupiti po njihovim instrukcijama.

Bezbednost podataka - Naše obaveze

Kao procesor podataka, implementirali smo najstrože tehničke i organizacione mere bezbednosti:

Tehnička bezbednost

• Enkripcija u tranzitu: Svi podaci se prenose preko HTTPS (TLS 1.3)
• Enkripcija u skladištenju: AES-256 enkripcija za sve podatke u bazi
• Kontrola pristupa: Multi-factor autentifikacija za sve administratore
• Network security: Firewall, intrusion detection, DDoS zaštita

Organizacione mere

• Ograničen pristup: Samo neophodni zaposleni imaju pristup podacima
• Ugovorne obaveze: Svi zaposleni su ugovorom obavezani na čuvanje tajnosti
• Redovne revizije: Periodična testiranja bezbednosnih mera
• Incident response: Definisan plan reagovanja na bezbednosne incidente

Čuvanje podataka

Kao procesor podataka, mi čuvamo podatke onoliko dugo koliko nam to instruira kontrolor podataka (vrtić):

• Aktivni podaci: Čuvaju se dok traje ugovor sa vrtićem
• Backup kopije: Čuvaju se 90 dana zbog oporavka sistema
• Tehnički logovi: Čuvaju se maksimalno 12 meseci za potrebe bezbednosti
• Po prekidu ugovora: Svi podaci se brišu u roku od 30 dana, osim ako vrtić ne zatraži drukčije

Obaveštavanje o povredama podataka

U slučaju povrede podataka, kao procesor imamo obavezu da:

• Odmah obavestimo vrtić: U roku od 24 sata od otkrivanja povrede
• Pružimo sve informacije: Priroda povrede, pogođeni podaci, uzrok i preduzete mere
• Sarađujemo u rešavanju: Pomaže vrtićima da ispune njihove obaveze prema GDPR-u
• Dokumentujemo incident: Vodimo evidenciju svih bezbednosnih incidenata

Napomena: Vrtić kao kontrolor podataka je odgovoran za obaveštavanje nadležnih organa i pogođenih lica.

Naši pod-procesori (treće strane)

Koristimo sledeće GDPR-kompatibilne pod-procesore:

• Amazon Web Services (AWS): Cloud hosting i infrastruktura (EU regioni)
• Backup provideri: Certifikovani EU provideri za dodatne backup kopije

Sa svim pod-procesorima imamo potpisane Data Processing Agreements (DPA) koji garantuju isti nivo zaštite podataka.

Kontakt za pitanja o zaštiti podataka

Za tehnička pitanja o našoj platformi:

• Email: privacy@vrticmoj.rs
• Telefon: +381 62 577 512
• Adresa: Beograd, Srbija

Za pitanja o vašim ličnim podacima:

Molimo vas da se obratite direktno vrtiću koji pohađa vaše dete, jer je vrtić kontrolor vaših podataka i jedino oni mogu da odgovore na vaše zahteve vezane za pristup, ispravku, brisanje ili druge izmene vaših ličnih podataka.