Pravno

GDPR usklađenost

Poštujemo evropske standarde zaštite podataka i kontinuirano radimo na usklađenosti sa regulativom.

Poslednje ažuriranje: 1. april 2026.

1. Naš pristup zaštiti podataka

Edvokat d.o.o. je u potpunosti posvećen usklađenosti sa Opštom uredbom o zaštiti podataka (GDPR — Regulation (EU) 2016/679) i Zakonom o zaštiti podataka o ličnosti Republike Srbije ("Sl. glasnik RS", br. 87/2018).

Princip "privatnost po dizajnu" (Privacy by Design) i "privatnost po podrazumevanim podešavanjima" (Privacy by Default) ugrađen je u sve faze razvoja i funkcionisanja platforme eDvokat. To znači da:

Prikupljamo samo podatke koji su neophodni za pružanje usluge (minimizacija podataka)
Podrazumevana podešavanja platforme su uvek ona koja pružaju najvišći nivo zaštite privatnosti
Bezbednosne mere su integrisane u arhitekturu sistema, a ne naknadno dodate
Redovno preispitujemo i unapređujemo naše prakse zaštite podataka

2. Pravni osnov obrade

Svaku obradu ličnih podataka vršimo na osnovu jednog od zakonitih pravnih osnova predviđenih članom 6 GDPR-a:

Izvršenje ugovora (član 6(1)(b)): obrada podataka o nalogu neophodna za pružanje usluge platforme na osnovu ugovornog odnosa sa Korisnikom
Saglasnost (član 6(1)(a)): za slanje promotivnih materijala i neobavezne komunikacije — Korisnik može povući saglasnost u svakom trenutku
Legitimni interes (član 6(1)(f)): za unapređenje platforme, analizu korišćenja i prevenciju zloupotreba, uz obaveznu procenu balansa interesa
Pravna obaveza (član 6(1)(c)): za čuvanje računovodstvenih podataka i ispunjavanje zahteva nadležnih organa

Za svaku aktivnost obrade, jasno je identifikovan i dokumentovan pravni osnov. U slučaju kada se obrada zasniva na saglasnosti, Korisnik može tu saglasnost povući u svakom trenutku bez posledica po pružanje osnovne usluge.

3. AI obrada podataka

Platforma eDvokat nudi opcione funkcionalnosti zasnovane na veštačkoj inteligenciji (AI), kao što su analiza dokumenata i predlozi za pravne podneske. Za ove funkcionalnosti koristimo usluge kompanije Anthropic, čija se infrastruktura za obradu podataka nalazi unutar Evropske unije.

Pravni osnov: obrada podataka putem AI funkcionalnosti zasniva se na izričitoj saglasnosti korisnika (član 6(1)(a) GDPR-a). Saglasnost se traži prilikom prvog korišćenja AI funkcionalnosti i može se povući u svakom trenutku putem podešavanja naloga, bez uticaja na dostupnost osnovnih funkcionalnosti platforme.

PII maskiranje: pre slanja podataka na AI obradu, sistem automatski vrši maskiranje ličnih podataka (PII — Personally Identifiable Information). Maskiraju se: JMBG, email adrese, brojevi telefona, fizičke adrese i referentni brojevi predmeta. Na taj način AI model nikada ne prima originalne lične podatke korisnika ili njihovih klijenata.

Privremena obrada: podaci prosleđeni AI modelu koriste se isključivo za generisanje odgovora u realnom vremenu i ne čuvaju se trajno na serverima AI provajdera. Nakon generisanja odgovora, podaci se brišu iz privremene memorije.

Korisnik može u svakom trenutku povući saglasnost za AI obradu podataka putem podešavanja svog naloga. Povlačenje saglasnosti ne utiče na zakonitost obrade koja je vršena pre povlačenja, niti na dostupnost svih ostalih funkcionalnosti platforme.

4. Prava ispitanika

U skladu sa Glavom III GDPR-a, svim korisnicima platforme garantujemo sledeća prava:

Pravo na pristup (član 15): pravo da dobijete potvrdu o tome da li se vaši podaci obrađuju i da dobijete kopiju tih podataka
Pravo na ispravku (član 16): pravo da zahtevate ispravku netačnih podataka ili dopunu nepotpunih podataka
Pravo na brisanje (član 17): pravo da zahtevate brisanje vaših podataka kada za obradu više ne postoji pravni osnov ("pravo na zaborav")
Pravo na prenosivost podataka (član 20): pravo da dobijete vaše podatke u strukturiranom, mašinski čitljivom formatu (JSON, CSV) i da ih prenesete drugom rukovaocu
Pravo na ograničenje obrade (član 18): pravo da zahtevate ograničenje obrade u određenim situacijama, npr. dok se utvrđuje tačnost podataka
Pravo na prigovor (član 21): pravo da uputite prigovor na obradu koja se zasniva na legitimnom interesu ili obradu u svrhe direktnog marketinga

Zahteve za ostvarivanje prava možete uputiti na email adresu dpo@edvokat.rs. Na svaki zahtev odgovaramo u roku od 30 dana, sa mogućnošću produženja za dodatnih 60 dana u slučaju složenijih zahteva, uz prethodno obaveštenje.

5. Tehničke i organizacione mere

U skladu sa članom 32 GDPR-a, primenjujemo odgovarajuće tehničke i organizacione mere zaštite podataka:

Enkripcija: svi podaci su enkriptovani u prenosu (TLS 1.3) i u mirovanju (AES-256), uključujući rezervne kopije
Kontrola pristupa: stroga kontrola pristupa zasnovana na ulogama (RBAC), uz obaveznu dvofaktorsku autentifikaciju za sve zaposlene
PII maskiranje: automatsko maskiranje ličnih podataka (JMBG, email, telefon) pre slanja na AI obradu — AI model nikada ne vidi originalne lične podatke
Redovne revizije: interne revizije bezbednosti vrše se kvartalno, a eksterni penetracioni testovi jednom godišnje
Obuka osoblja: svi zaposleni prolaze obaveznu obuku o zaštiti podataka prilikom zapošljavanja i godišnje osvežavanje znanja
Evidencija pristupa: svi pristupi osetljivim podacima beleže se u revizijskom dnevniku (audit log) sa neizbrisivim zapisima
Plan odgovora na incidente: definisane procedure za identifikaciju, ograničavanje i otklanjanje posledica bezbednosnih incidenata
Procena uticaja (DPIA): za sve aktivnosti obrade koje koriste AI funkcionalnosti sprovedena je procena uticaja na zaštitu podataka u skladu sa članom 35 GDPR-a

6. Prenos podataka

Svi podaci korisnika eDvokat platforme čuvaju se i obrađuju isključivo na serverima koji se nalaze unutar Evropske unije (EU) odnosno Evropskog ekonomskog prostora (EEP).

Ne vršimo prenos podataka u zemlje van EU/EEP koje ne obezbeđuju adekvatan nivo zaštite podataka, osim ukoliko su ispunjeni strogi uslovi predviđeni Glavom V GDPR-a:

Postojanje odluke Evropske komisije o adekvatnosti zaštite u zemlji primaoca
Primena odgovarajućih zaštitnih mera, kao što su Standardne ugovorne klauzule (SCC)
Izričita saglasnost korisnika, uz prethodno informisanje o mogućim rizicima

Trenutno svi naši pod-obrađivači obrađuju podatke isključivo na teritoriji EU.

7. Obrada od strane trećih lica

Sa svim trećim licima koja imaju pristup ličnim podacima naših korisnika (obrađivači podataka) zaključen je Ugovor o obradi podataka (Data Processing Agreement — DPA) u skladu sa članom 28 GDPR-a.

Trenutni obrađivači podataka uključuju:

Hosting infrastruktura: pružalac cloud usluga sa sedištem u EU, sertifikovan po ISO 27001 i SOC 2 Type II standardima
Email servis: pružalac transakcijskih email usluga sa sedištem u EU, za slanje sistemskih obaveštenja i potvrda
Platni procesor: PCI DSS usklađen pružalac za obradu plaćanja pretplate (pristupa isključivo podacima o transakcijama, ne i sadržaju platforme)

Svaki obrađivač podataka je pažljivo odabran na osnovu procene njihovih bezbednosnih praksi i usklađenosti sa GDPR-om. Redovno proveravamo usklađenost naših obrađivača i zadržavamo pravo da prekinemo saradnju u slučaju utvrđenih nepravilnosti.

8. Evidencija aktivnosti obrade

U skladu sa članom 30 GDPR-a, vodimo detaljnu evidenciju svih aktivnosti obrade podataka. Ova evidencija obuhvata:

Naziv i kontakt podatke rukovaoca i lica za zaštitu podataka
Svrhu svake aktivnosti obrade
Kategorije ispitanika i kategorije ličnih podataka
Kategorije primalaca kojima su podaci otkriveni ili će biti otkriveni
Predviđene rokove za brisanje različitih kategorija podataka
Opis tehničkih i organizacionih mera zaštite

Evidencija se ažurira prilikom svake promene u aktivnostima obrade i dostupna je nadležnom nadzornom organu na zahtev.

9. Obaveštenje o povredi podataka

U skladu sa članovima 33 i 34 GDPR-a, uspostavili smo jasne procedure za postupanje u slučaju povrede zaštite ličnih podataka:

Obaveštenje nadzornog organa (član 33): u slučaju povrede zaštite ličnih podataka koja može da dovede do rizika po prava i slobode fizičkih lica, obaveštavamo nadležni nadzorni organ (Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti) najkasnije u roku od 72 sata od saznanja o povredi
Obaveštenje korisnika (član 34): kada povreda zaštite ličnih podataka može da dovede do visokog rizika po prava i slobode korisnika, bez nepotrebnog odlaganja obaveštavamo pogođene korisnike o prirodi povrede i preduzetim merama
Dokumentacija: sve povrede zaštite ličnih podataka se detaljno dokumentuju, uključujući činjenice o povredi, njene posledice i preduzete korektivne mere, bez obzira na to da li je bila potrebna prijava nadzornom organu
Tim za odgovor na incidente: formiran je poseban tim za odgovor na bezbednosne incidente sa jasno definisanim ulogama, odgovornostima i procedurama za brzu identifikaciju, ograničavanje i otklanjanje posledica povrede

Cilj naših procedura je da se svaka povreda zaštite podataka identifikuje i reši u najkraćem mogućem roku, uz minimizaciju potencijalnih negativnih posledica po pogođene korisnike.

10. Kontakt za zaštitu podataka

Za sva pitanja u vezi sa zaštitom podataka i GDPR usklađenošću, možete kontaktirati naše lice za zaštitu podataka:

Lice za zaštitu podataka (DPO): dpo@edvokat.rs
Opšti kontakt: info@edvokat.rs
Adresa: Edvokat d.o.o., Beograd, Republika Srbija

Nadležni nadzorni organ za zaštitu podataka u Republici Srbiji je:

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti
Bulevar kralja Aleksandra 15, 11000 Beograd
Telefon: +381 11 3408 900
Website: www.poverenik.rs

Imate pravo da u svakom trenutku podnesete pritužbu nadzornom organu ukoliko smatrate da je obrada vaših podataka izvršena protivno propisima o zaštiti podataka.