Politika privatnosti
Politika privatnosti SmartKartica
Verzija: 3.0
Datum stupanja na snagu: 5. april 2026. godine
Datum poslednjeg ažuriranja: 5. april 2026. godine
Ova Politika privatnosti reguliše način prikupljanja, korišćenja, čuvanja, prenosa, otkrivanja, zaštite i druge obrade ličnih podataka pri korišćenju SmartKartica, uključujući sajt https://smartkartica.rs/, povezane poddomene, administratorski panel, javne registracione forme, API, alate za izdavanje i dostavu digitalnih kartica, skripte Apple Wallet i Google Wallet, funkcije plaćanja i fakturisanja, module komunikacije, tehničke podrške, integracija, procesa računa i kase, kao i druge komponente platforme.
Polazimo od toga da je zaštita ličnih podataka deo arhitekture usluge. Obrada podataka vrši se na osnovu principa zakonitosti, savesnosti, transparentnosti, ograničenja svrhe, minimizacije podataka, tačnosti, ograničenja rokova čuvanja, poverljivosti, integriteta i odgovornosti. U meri u kojoj se na određenu operaciju primenjuje Uredba (EU) 2016/679 (GDPR), poštujemo zahteve GDPR. Za operacije koje podležu pravu Republike Srbije, uzimamo u obzir Zakon o zaštiti podataka o ličnosti Republike Srbije i druge primenjive norme.
1. Rukovalac podacima i kontakt podaci
Rukovalac podacima u okviru svoje aktivnosti SmartKartica je VMTech d.o.o. Beograd.
- Puno ime: VMTech d.o.o. Beograd
- Registarski broj (Matični broj): 22069152
- Poreski broj (PIB): 114779614
- Pravna adresa: Topalovićeva 4, Zvezdara, 11050 Beograd, Srbija
- Kontakt e-mail: support@smartkartica.rs
- Telefon: +381 61 680 7039
- Sajt: https://smartkartica.rs/
2. Obim primene Politike
Ova Politika se primenjuje na posetioce sajta, potencijalne klijente, registrovane korisnike panela SmartKartica, predstavnike kompanija-klijenata, krajnje korisnike digitalnih kartica, lica koja se prijavljuju i verifikuju javno, kao i na lica čiji se podaci dostavljaju kroz API, webhook, bilinge, wallet-skripte, procese računa i druge integracione konture.
3. Kada je VMTech rukovalac, a kada obrađivač
3.1. VMTech je rukovalac u pogledu podataka i procesa za koje VMTech određuje ciljeve i bitna sredstva obrade. To uključuje, pre svega: rad sajta i javnih stranica; registraciju i održavanje korisničkih naloga; fakturisanje, izdavanje računa, povratne uplate, finansijsko i poresko računovodstvo; obradu zahteva za podršku; obezbeđenje informacione bezbednosti; audit, evidencije aktivnosti, istragu incidenata i sporova; poštovanje obaveznih zakonskih zahteva; dokaz usvajanja pravnih dokumenata; zaštitu prava i zakonskih interesa VMTech.
3.2. Kompanije-klijenti SmartKartica su obično nezavisni rukovaoci u pogledu ličnih podataka svojih krajnjih klijenata, učesnika programa lojalnosti, kupaca, vlasnika digitalnih kartica i drugih krajnjih korisnika, jer upravo oni određuju ciljeve programa, pravila prikupljanja i povlačenja, set prikupljenih podataka, poslovnu logiku, sadržaj komunikacija, sastav šablona, kriterijume segmentacije, tekstove obaveštenja, uslove učešća i druge ključne parametre obrade.
3.3. VMTech, u vezi sa takvim krajnjim korisničkim podacima, obično deluje kao obrađivač i obrađuje podatke po nalogu i u interesu odgovarajućeg klijenta, pružajući infrastrukturu, interfejse, API, dostavu pass-sadržaja, wallet-integracije, funkcije fakturisanja i osoblja. Klijent je dužan samostalno obezbediti pravni osnov, odgovarajuće obaveštenje o privatnosti, pravnu osnovanost učitavanja podataka, zakonitost slanja poruka i poštovanje primenjivih normi.
3.4. Čak i kada VMTech deluje kao obrađivač za krajnje korisničke podatke klijenata, VMTech može biti samostalan rukovalac ograničenog obima podataka i pojedinačnih operacija, ako je ta obrada potrebna za mrežnu i informacionu sigurnost, suzbijanje prevara i zloupotreba, obezbeđenje funkcionalnosti platforme, rezervne kopije, evidenciju, istraživanje incidenata, izvršenje zakonskih obaveza, poštovanje poreskog, računovodstvenog, platnog ili dokaznog režima, zaštitu prava VMTech, trećih lica ili drugih legitimnih interesa.
4. Koje podatke možemo obrađivati
4.1. Kontaktni i identifikacijski podaci. To mogu biti ime, prezime, e-mail, broj telefona, naziv kompanije, pozicija, uloga korisnika, fakturisni i poslovni kontaktni podaci, kao i druge informacije koje korisnik dobrovoljno pruži prilikom registracije, naručivanja usluge, obraćanja podršci ili korišćenja funkcionalnosti platforme.
4.2. Podaci o nalogu i sigurnosti. Možemo obrađivati adresu e-pošte, lozinku u šifrovanom obliku, podatke o potvrdi e-pošte, tokene potvrde, tokene za resetovanje lozinke, podatke o dvofaktorskoj autentifikaciji i rezervnim kodovima, informacije o pokušajima pristupa, blokadama, ulogama pristupa, jezičkim postavkama interfejsa, statusu naloga, company ID, user ID, request ID i druge povezane tehničke podatke.
4.3. Podaci o javnoj registraciji i onboarding. U okviru javnih obrazaca registracije i pridruživanja programima lojalnosti mogu se obrađivati ime, e-mail, broj telefona, izabrani jezik, podaci verifikacionih sesija, hash kodova potvrde, tracking ID eksternog SMS-provajdera, broj pokušaja, IP-adresa, user-agent, CAPTCHA tokeni, idempotency ključevi i drugi podaci potrebni za izdavanje kartice i zaštitu od spama i zloupotreba.
4.4. Podaci kompanija-klijenata i njihovih predstavnika. To mogu biti informacije o kompaniji, tarifi, planu pretplate, valuti, statusu pretplate, poreskim i registracionim podacima, podacima za izdavanje računa, fakturisanju, dozvolama, postavkama naloga, postavkama lokalizacije, API ključevima, ograničenjima po IP i drugim parametrima korišćenja usluge.
4.5. Podaci krajnjih klijenata kompanija-klijenata. U zavisnosti od konfiguracije konkretnog projekta i instrukcija klijenta u sistem se mogu preneti ili kreirati ime, prezime, e-mail, telefon, status klijenta, parametri programa lojalnosti, vrednosti prilagođenih polja, metadata profila, istorija učešća u programu, istorija dodela bodova, popusta, cashback, nivoa, QR/štampanih atributa i drugi podaci koje klijent odluči koristiti u svom programu.
4.6. Podaci digitalnih kartica, pass-objekata i wallet-integracija. Možemo obrađivati serijski broj kartice, podatke šablona, dinamičke vrednosti polja, verziju šablona, postavke lokalizacije, object ID i class ID Google Wallet, Apple pass type identifier, token autentifikacije pass, push token, device ID, otisak uređaja, status instalacije, brisanja ili čuvanja pass, podatke callback događaja, informacije o poslednjoj sinhronizaciji i druge podatke potrebne za izdavanje, ažuriranje i održavanje digitalnih kartica.
4.7. Podaci uređaja i tehnički pokazatelji. U zavisnosti od scenarija mogu se obrađivati IP-adresa, user-agent, naziv i verzija pretraživača, OS, lokalitet, vremenske oznake, tehnički identifikatori, logovi zahteva, device fingerprint, device label i drugi tehnički signali, koji se odnose na sigurnost, debugging, dostavu pass-sadržaja, push-obaveštenja i dijagnostiku integracija.
4.8. Podaci o plaćanju i fakturisanje. Možemo obrađivati informacije o tarifi, valuti, iznosima, računima, datumima izrade i plaćanja, identifikatorima transakcija, identifikatorima sesija plaćanja, merchant payment ID, gateway transaction ID, tokenizovane načine plaćanja, maskirane podatke kartice, statuse knjiženja, povrata i grešaka, kao i povezane fiskalne i obračunske podatke.
4.9. Podaci o pravnim saglasnostima i prihvatanjima. Možemo čuvati podatke o tipu dokumenta, verziji, jeziku, vremenu prihvatanja, IP-adresi, user-agent i tehničkim parametrima potrebnim za potvrdu činjenice i konteksta prihvatanja uslova, politike, recurring payment consent i drugih pravno značajnih radnji.
4.10. Podaci komunikacije i podrške. Tokom prepiske i podrške mogu se obrađivati sadržaji zahteva, istorija prepiske, priloge, tehničke beleške, informacije o isporuci pisama i obaveštenja, kao i informacije potrebne za rešenje problema, verifikaciju ovlašćenja i održavanje klijenta.
4.11. Podaci o računskim, blagajničkim i trgovačkim scenarijima. Ako klijent koristi odgovarajuću funkcionalnost, mogu se obrađivati QR URL računa, sirovi i normalizovani podaci računa, parametri prodavca, mesta prodaje, datum i vreme kupovine, ukupne sume, sastav stavki robe, statuse deduplikacije, validnosti prodavca, rezultati dodela bodova i prateće tehničke metadata.
5. Koji podaci se ne bi trebali učitavati u servis bez posebnog pismenog opravdanja
- potpuni podaci o platnim karticama, CVV/CVC kodovi, puni bankovni računi i druge autentifikacione platne informacije;
- državni identifikatori, podaci o pasošima, brojevi socijalnog osiguranja i drugi osetljivi državni identifikatori, ukoliko nisu potrebni za zakonitu i posebno dogovorenu svrhu;
- medicinski podaci, informacije o zdravstvenom stanju, podaci o zdravstvenom osiguranju;
- biometrijski identifikatori i podaci za jedinstvenu biometrijsku identifikaciju;
- podaci o maloletnim osobama u meri koja prevazilazi očigledno zakonitu i pravilno oblikovanu obradu;
- posebne kategorije ličnih podataka u smislu GDPR i sličnih zakona;
- lozinke, tajni podaci, tokeni ili identifikacioni podaci trećih sistema, osim u slučajevima kada je to objektivno potrebno za povezanost integracija samim klijentom i obrađuje se u zaštićenom okviru;
- drugi podaci koji stvaraju nesrazmeran regulatorni, platformni, ugovorni ili reputacioni rizik za VMTech, Apple, Google, pružaoce usluga plaćanja ili samog klijenta.
6. Izvori prikupljanja podataka
Možemo prikupljati podatke direktno od korisnika, od kompanije-klijenta, automatski pri korišćenju sajta, panela, API, wallet-flow, fakturisanja i integracija, kao i od eksternih provajdera, uključujući platne prolaze, e-mail i SMS provajdere, anti-bot sistema, Apple, Google, izvore webhook i fiskalne ili trgovačke integracije.
7. Svrhe obrade i pravni osnov
Lični podaci mogu se obrađivati za kreiranje i održavanje korisničkih naloga, izvršenje ugovora, registraciju klijenata, verifikaciju e-mail i telefona, izdavanja i dostavu digitalnih kartica, slanje servisnih poruka, obradu plaćanja, obezbeđenje sigurnosti, vođenje audita i evidencija, pružanje podrške, izvršenje obaveza prema državnim organima, lokalizaciju, prevođenje interfejsa i obezbeđivanje kompatibilnosti sa Apple Wallet, Google Wallet i drugim eksterijalnim platformama.
Pravni osnovi obrade, u zavisnosti od scenarija, su: izvršenje ugovora ili radnje pre zaključenja ugovora; poštovanje pravne obaveze; legitiman interes VMTech, klijenta ili trećeg lica, ako taj interes ne prevazilazi prava i slobode subjekta podataka; saglasnost subjekta podataka u slučajevima kada zakon traži upravo saglasnost.
8. Kako koristimo eksterne provajdere i kome možemo prenositi podatke
Ne prodajemo lične podatke. Pritom, u okviru funkcionisanja platforme, podaci se mogu prenositi strogo u potrebnom obimu kompanijama-klijentima i njihovim autorizovanim korisnicima, provajderima elektronske pošte, SMS-provajderima, anti-bot i sigurnosnim provajderima, platnim i fakturama provajderima, sistemima elektronske fakturacije i poreskog izveštavanja, Apple, Google, infrastrukturnim i integracionim provajderima, pružaocima AI-prevoda i obrade teksta, kao i advokatima, revizorima, državnim organima i sudovima, ukoliko to zahtevaju zakon ili zaštita prava i interesa VMTech.
9. Apple Wallet, Google Wallet i povezane platforme trećih lica
SmartKartica se integriše sa Apple Wallet i Google Wallet radi izdavanja, ažuriranja, prikazivanja i dostave digitalnih kartica. Ove platforme nisu pod kontrolom VMTech i deluju prema sopstvenim pravilima, politici privatnosti, tehničkim zahtevima i brendiranim smernicama.
Ako krajnji korisnik ili klijent koristi pass u Apple Wallet ili Google Wallet, određeni obim podataka i tehničkih identifikatora može obrađivati odgovarajuća platforma kao nezavisni rukovalac u okviru svoje ekosistema. Ne kontrolišemo dalju obradu Apple ili Google izvan našeg servisa.
Klijenti SmartKartica su obavezni samostalno osigurati da sadržaj njihovih pass-objekata, programi lojalnosti, ponude, obaveštenja, linked websites, slike, nazivi, opisi, upotreba slučajeva i drugi materijali odgovaraju zahtevima Apple, Google i drugih važećih platformi. Zadržavamo pravo da ograničimo, obustavimo, uklonimo ili odbijemo da pružamo content koji, prema našem razumnom mišljenju, krši ove zahteve, stvara rizik od platforme blokiranja ili može izazvati kršenje zakona.
10. Međunarodni transferi podataka
Podaci se mogu obrađivati u Srbiji i u drugim jurisdikcijama, gde su smešteni naši provajderi, partneri, infrastrukturna rešenja i integracije. Ako i u meri u kojoj se na transfer primenjuju zahtevi GDPR ili sličnih režima, koristimo razumno potrebne i primenljive pravne mehanizme zaštite, uključujući ugovorne i organizacione garancije, ograničenje pristupa, minimizaciju prenetog obima i druge zakonite mehanizme.
11. Rokovi čuvanja podataka
Čuvamo podatke ne duže nego što je potrebno za postizanje zakonite svrhe obrade, izvršenje ugovora, poštovanje obaveznih zakona, zaštitu prava i interesa stranaka, rešavanje sporova, održavanje sigurnosti i osnovu za dokaz. Podaci o plaćanjima, računi, porezima, fiskalna i povezana sa recurring payment čuvaju se najmanje vreme potrebno prema obaveznom pravu, poreskom i računovodstvenom režimu, kao i pravilima proverovaca plaćanja.
12. Anonimizovani i agregirani podaci
U meri u kojoj je to dopušteno zakonom, možemo koristiti anonimizovane, agregirane ili statističke podatke, koji više ne omogućavaju direktnu ili indirektnu identifikaciju određenog lica, za analizu korišćenja platforme, povećanje pouzdanosti, planiranje kapaciteta, analitiku proizvoda i unapređenje usluge.
13. Automatizovani procesi i odluke
Platforma koristi automatizovane procese, neophodne za tehničko funkcionisanje: verifikacija kontakata, deduplikacija, anti-fraud provere, rutiranje obaveštenja, izdavanje i ažuriranje pass-objekata, push-sinhronizacija, provera statusa, fakturisanje i recurring payment flows, obrada webhook, obračuni bonusa i druge operacije, ugrađene u logiku servisa. Ako određena automatizovana logika postavlja sam klijent, odgovornost za zakonitost takve poslovne logike snosi odgovarajući klijent kao rukovalac.
14. Prava subjekata podataka
U zavisnosti od primenjivog prava, subjekt podataka može imati pravo na pristup podacima, ispravku netačnih podataka, brisanje, ograničenje obrade, prenosivost podataka, povlačenje saglasnosti, prigovor na obradu, kao i pravo na pritužbu kod nadležnog nadzornog organa. Za obradu koja podleže pravu Srbije, subjekt podataka može se obratiti Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti: https://www.poverenik.rs/.
15. Bezbednost ličnih podataka
Primjenjujemo razumne tehničke i organizacione mere sigurnosti, srazmerne prirodi usluge i rizicima obrade. Takve mere mogu uključivati kontrolu pristupa na osnovu uloga, enkripciju lozinki i pojedinačnih tokena, zaštićene kanale prenosa podataka, evidenciju, kontrolu integriteta, limite zahteva, anti-abuse mehanizme, segregaciju podataka po kompanijama, rezervne kopije, nadzor i druge mere.
16. Deca i maloletni
Usluga nije namenjena za samostalnu upotrebu dece bez odgovarajućeg pravnog osnova i kontrole od strane odgovarajućeg rukovaoca podataka. Kompanije-klijenti ne bi trebalo koristiti platformu za nezakonitu ili neprikladnu obradu podataka dece i maloletnika.
17. Cookies i slične tehnologije
SmartKartica koristi cookies, server-side session mechanism, lokalno skladištenje postavki i druge slične tehnologije za obezbeđivanje funkcionisanja sajta, izbora jezika, čuvanja korisničkih preferencija, zaštite sesija, CSRF/anti-abuse funkcija i drugih zakonitih tehničkih ciljeva. Detalji su navedeni u zasebnoj Politici korišćenja kolačića.
18. Promena Politike
Imamo pravo da povremeno ažuriramo ovu Politiku, ako je to potrebno usled promena u arhitekturi usluga, zakonodavstvu, sastavu provajdera, pravilima Apple ili Google, platnoj mreži, funkcionalnosti platforme, sigurnosnim praksama ili iz drugih razumnih osnova.
19. Završne odredbe
Ova Politika treba biti tumačena u vezi sa stvarnom arhitekturom SmartKartica, našim ugovornim dokumentima, tehničkim mogućnostima platforme, primenjivim pravom i ulogama stranaka u određenoj obradi. Za pitanja o privatnosti i ostvarivanje prava subjekta podataka obratite se na support@smartkartica.rs.