Avature – Privacy notice

Information on processing your personal data for Onboarding process


Information provided by the Data Controller: Deloitte d.o.o. Podgorica1

(hereinafter the “Employer”)

        In accordance with Article 20. of the Law on Protection of Personal Data ("Official Gazette of Montenegro", No. 079/08 dated 23.12.2008, 070/09 dated 21.10.2009, 044/12 dated 09.08.2012, 022/17 dated 03.04.2017) (hereinafter: the "Law"), and the basic principles of the EU General Data Protection Regulation (GDPR), the Employer as the Data Collection Manager informs the Employee about the processing of his Personal Data by the Employer. Data processing is carried out on the occasion of the employment contract concluded between the Employee and the Employer, in connection with or for the purposes of performing the Employee's work for the Employer, and also for the purposes of using the Employer's information systems and ensuring compliance with the internal policies of DTTL member companies and their dependent and related persons.

1. Definitions:
(The below definitions serve for nomenclature purposes solely and in specific cases do not establish any existence of the Employment relationship in accordance with the Employment Act ("Off. Herald of RS", Nos. 24/2005, 61/2005, 54/2009, 32/2013, 75/2014, 13/2017-Decision of the CC, 113/2017 and 95/2018 - authentic interpretation) (hereinafter the “Labour Code”)

„Data Controller“ shall mean the natural or legal person, public authority, agency or other body which alone or jointly with others, determines the purposes and means of the processing of Personal Data. In relation to the Employee Personal Data the Controller is his/her Employer / affiliate of Deloitte CE.

“Employee” shall mean any person in Employment or in a similar Employment relationship (contract for work) or other contractual relationship with the Employer, including statutory representatives, proxies, professional advisors and consultants of the Employer.

“Employment” under this information shall also include similar Employment relationships or other contractual relationships of individuals active for the Employer when applicable.

“Employment Contract” under this information shall mean the contract establishing the Employment as defined above.

“Personal Data” means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

“Processor” means a natural or legal person, public authority, agency or other body which processes Personal Data on behalf of the Data Controller.

„Recipient“ means a natural or legal person, public authority, agency or another body, to which the Personal Data are disclosed. In relation to Employee Personal Data the Recipients can be e.g. Employee(-s) of Controller, Processor(-s) or Employee(-s) of Processor. Public authorities which may receive Personal Data in the framework of a particular inquiry in accordance with the law shall not be regarded as Recipients.

        2. Extent of the processing:

The Employer processes the Personal Data of the Employee to the following extent:

  • Personal Data to the extent required by the relevant legislation (Labour Code and other legislation related to the Employment);
  • Personal Data submitted by the Employee before entering into the Employment relationship;
  • Personal Data relating to the Employee’s professional qualifications and experience;
  • Other Personal Data relating to the Employee’s Employment with the Employer and performance of his/her obligations related to the Employment relationship (for example: performance management data, data on trainings and e-learnings attendance, phone-call lists, usage of Deloitte devices and systems etc.); and
  • Photographs, video and audio recordings of the Employee.

        3. Purpose of processing of the Personal Data by the Employer:

        The purpose of processing the Personal Data is for the Employer to exercise its rights and obligations pursuant to Labour Code, the Employment Contract and other relevant legislation, in particular, with regard to maintaining HR and payroll agenda, to acts relating to performance of the Employee’s obligations related to the Employment, Employee trainings and education, benefits, and connected to offering and providing the Employer’s services to the clients as specified in more detail in paragraph below.

        The Employer is also entitled to process the Personal Data for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system. Processing in this extent is based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality. This includes, among others, prevention and remedy of any technical problems, prevention and suppression of activities that are intentionally illegal, contrary to the public order or that are wilfully damaging to any third party’s rights and dignity, prevention and suppression of any violation of intellectual property rights as well as confidentiality and integrity of Employer’s data, the security and good technical functioning of its systems and the costs relative thereto, as well as the material protection of all Employer’s resources.

        4. Recipients of Personal Data:

        The Employer is entitled to provide Employee’s Personal Data to the following Recipients that are the Employer's Data Processors, who process the Personal Data on behalf of the Employer, under the conditions and to the extent agreed with the Employer in a written authorisation/contract. In particular, for the purpose of the Employee’s records in the HR systems, processing of his/her HR and payroll records, providing Employee benefits and also to provide IS services, document archiving, e-mail services and other hosted applications services and to the extent necessary for the performance of rights and obligations arising from the Employment relationship between the Employee and the Employer or as agreed between the Employee and the Employer as well as for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality.

The list of the Employer's Data Processors within Deloitte CE is published and accessible here, and list of the local Employer’s Data Processors is published and accessible here.

        Paper versions of the above-mentioned lists are available at the local HR department and are provided to the Employee upon his/her request.

        The Personal Data of Employee may also be disclosed to the competent authorities as authorized by the applicable laws.

        5. Requirements for exporting of data

        The Employee is hereby informed that the Employer may provide the Employee’s Personal Data for the purposes as specified above to Deloitte CE and DTTL member firms and their respective subsidiaries and affiliates during the term of the Employment, even to countries outside of the EU territory which do always not ensure the same level of protection as required by the EU legislation. Such transfers to countries outside of the EU either to the Processor (as indicated in the list of the Employer's Data Processors within Deloitte CE) or Controller are based on the EU approved Standard Contractual Clauses and in accordance with the Personal Data Act. In specific situations such as e.g. mobility programme or cross-border cooperation provision, Employee’s Personal Data can be transferred to the Recipient outside the EU and it is responsibility of such Recipient to comply with the local law when processing the Personal Data.

        6. Data Retention

        The data will be processed until the purposes of processing such Personal Data are fulfilled; or as required by the applicable legislation. The Employer is entitled to process the Personal Data of the Employee for a period of three years after the Employment relationship is terminated or as required by the applicable legislation. After this period expires, Personal Data of Employee will be anonymised or permanently deleted, unless otherwise is regulated by the applicable legislation. Employee’s records will be kept starting from the day of commencement of work and will stop upon termination/expiry of employment. In accordance with the Law on employment records (Off. Gazette of Montenegro no. 069/03, 073/10, 040/11 and 045/12) employment records, that include Employee’s Personal Data, are permanently kept.
The Employee is responsible for the accuracy and update of the Personal Data he/she has provided to the Employer. The Employee undertakes to notify the Employer of any changes in the Personal Data provided without undue delay.

        7. Poverljivost

        During and after the Employment relationship, the Employee is obliged to keep confidential the Personal Data of the Employer’s Employees, clients, external suppliers, and other natural persons met by the Employee in the course of his/her Employment, which are processed in connection with his/her job duties performed for the Employer; he/she may not use the Personal Data for personal purposes, and he/she may not publish them or make them accessible without the Employer’s or the particular natural person´s consent. Other obligations of the Employee related to work with Personal Data are specified in the Employer’s internal policies and regulations, of which the Employee was informed and which he/she undertakes to comply with.

        8. Data Security

Employer shall establish technological, physical, administrative and procedural safeguards all in line with the industry accepted standards in order to protect and ensure the confidentiality, integrity or accessibility of the Personal Data processed; prevent the unauthorized use of or unauthorized access to the Personal data or prevent a Personal Data breach (security incident) in accordance with Deloitte instructions, policies and applicable laws. Deloitte is a holder of ISO 27001 certification – widely recognized global information standard.


        Data Subjects' Rights

Employee has right to request access to their personal data, in accordance with article 43. of the Law, to update and correct their personal data, in accordance with article 44. of the Law.

You can enforce all rights described here can be enforced by contacting your local HR department or sending an e-mail to

The employee also has the right to submit a request for the protection of rights to the supervisory authority:

To learn more about your data subject’s right, please read 1604.03 Data Subjects’ Rights Execution policy available here.

By signing, the Employee confirms that he/she was informed of:

  • his/her rights arising from the Personal Data Act and other relevant legislation;
  • the fact that the provision of Personal Data processed under this information is compulsory.


1 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients. Please see to learn more.




Informacije dostavlja Rukovalac: Deloitte1 d.o.o. Podgorica

(dalje u tekstu: „Poslodavac“)


U skladu sa članom 20. Zakona o zaštiti podataka o ličnosti ("Službeni list Crne Gore", br. 079/08 od 23.12.2008, 070/09 od 21.10.2009, 044/12 od 09.08.2012, 022/17 od 03.04.2017) (dalje u tekstu: „Zakon“), i osnovnim načelima Opšte regulative o zaštiti podataka EU (GDPR), Poslodavac kao Rukovalac zbirke podataka obavještava Zaposlenog o obradi njegovih Ličnih podataka od strane Poslodavca. Obrada podataka se vrši povodom Ugovora o radu zaključenim između Zaposlenog i Poslodavca, u vezi sa ili za potrebe obavljanja rada Zaposlenog za Poslodavca, a takođe i za potrebe korišćenja Poslodavčevih informacionih sistema i obezbjeđenja usklađenosti sa internim politikama društava članova DTTL i njihovih zavisnih i povezanih lica.

1. Definicije:
(Definicije termina navedene u tekstu koji slijedi date su isključivo za potrebe ovog dokumenta i ne mogu u konkretnim slučajevima ukazivati na postojanje ili uspostavljanje eventualnog radnog odnosa u skladu za važećim Zakonom o radu ("Službeni list Crne Gore", br. 074/19 od 30.12.2019, 008/21 od 26.01.2021, 059/21 od 04.06.2021, 068/21 od 23.06.2021, 145/21 od 31.12.2021) (dalje u tekstu: “Zakon o radu”))

„Rukovalac“ označava fizičko ili pravno lice, državni organ, instituciju ili neki drugi organ koji, samostalno ili zajedno sa drugim licima ili organima, utvrđuje svrhe i sredstva za obradu Ličnih podataka. U odnosu na Lične podatke Zaposlenog, Rukovalac podataka je njegov Poslodavac / firma članica Deloitte-a CE.

„Zaposleni“ označava svaku osobu u radnom odnosu ili drugoj vrsti radnog angažovanja sa Poslodavcem, uključujući zakonske predstavnike, zastupnike, stručne saradnike i savjetnike Poslodavca.

„Radni odnos“ za potrebe ovog dokumenta, obuhvata i angažovanje koje nije radni odnos (ugovor o privremenim i povremenim poslovima, ugovor o stručnom usavršavanju, ugovor o djelu i sl.) i druge ugovorne odnose sa fizičkim licima koja se angažuju po potrebi Poslodavca.

„Ugovor o radu“ za potrebe ovog dokumenta, označava ugovor kojim se uspostavlja i reguliše Radni odnos definisan u tački iznad.

„Lični podaci“ je termin kojim se označavaju sve informacije koje se odnose na fizičko lice čiji je identitet utvrđen ili se može utvrditi; lice koje je moguće identifikovati je lice čija je identifikacija moguća, direktna ili indirektna, na osnovu identifikacionog podatka kao što je ime, matični broj, podatak o prebivalištu, podatak za identifikaciju na internetu ili jedan ili više činilaca specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog fizičkog lica.

„Obrađivač“ označava državni organ, organ državne uprave, organ lokalne samouprave i lokalne uprave, privredno društvo ili drugo pravno lice, preduzetnik ili fizičko lice, kome Rukovalac povjerava, da u njegovo ime vrši poslove u vezi sa obradom ličnih podataka.

„Primalac“ ili „korisnik ličnih podataka“ je svako fizičko ili pravno lice, državni organ, organ državne uprave, organ lokalne samouprave ili lokalne uprave i drugi subjekti koji vrše javna ovlašćenja, koji imaju pravo da obrađuju lične podatke. U odnosu na Lične podatke Zaposlenog, Primaoci mogu biti ovlašćeni zaposleni Rukovaoca, Obrađivač(i) ili zaposleni Obrađivača. Državni organi koji Lične podatke mogu primiti u okviru određene istrage, u skladu sa zakonskim propisima, ne smatraju se Primaocima.

2. Vrste podataka o ličnosti koji se obrađuju:

Poslodavac obrađuje Lične podatke Zaposlenog u sljedećem obimu:

  • Lične podatke u mjeri u kojoj se obrada zahtjeva važećim relevantnim zakonskim propisima (Zakon o radu, Zakon o evidencijama u oblasti rada i zapošljavanja i drugi zakoni i propisi vezani za Radni odnos);
  • Lične podatke koje Zaposleni dostavi prije stupanja u Radni odnos;
  • Lične podatke koji se odnose na stručnu spremu i iskustvo;
  • Ostale Lične podatke u vezi sa Radnim odnosom Zaposlenog kod Poslodavca i izvršavanjem njegovih obaveza iz Radnog odnosa (npr.: podaci o rezultatima rada, podaci o pohađanju obuka i on-line treninga, spiskovi telefonskih poziva, itd.); i
  • Fotografije, video i audio snimci Zaposlenog.

3. Svrha i pravni osnov obrade:

Poslodavac obrađuje Lične podatke Zaposlenog u svrhu ostvarivanja prava i obaveza u skladu sa Zakonom o radu, Ugovorom o radu i drugim relevantnim propisima, prije svega u vezi sa vođenjem evidencija Službe ljudskih resursa i obračunom zarada, mjerama koje se odnose na izvršenje obaveza Zaposlenog koje proizlaze iz Radnog odnosa, edukaciju i obuke Zaposlenih, naknade Zaposlenima, kao i u vezi sa ponudom i pružanjem usluga Poslodavca klijentima, kako je detaljnije objašnjeno u narednom pasusu.

        Poslodavac takođe ima pravo da Lične podatke obrađuje u cilju provere da li Zaposleni postupa u skladu sa relevantnim politikama Poslodavca koje se odnose na sigurnost uređaja i sistema Poslodavca. Obrada u ovom obimu zasniva se na legitimnom interesu Poslodavca da obezbedi kontinuitet poslovanja i zaštitu ekonomskih, komercijalnih i finansijskih interesa, a posebno u pogledu poštovanja pravila o poverljivosti. Ovo između ostalog uključuje prevenciju i otklanjanje bilo kakvih tehničkih problema; zatim sprečavanje i suzbijanje aktivnosti koje su u suprotnosti sa prinudnim propisima, javnim poretkom i dobrim običajima, odnosno kojima se sa namerom povređuju prava i integritet bilo koje treće strane; sprečavanje i suzbijanje povreda prava intelektualne svojine; zaštitu poverljivosti i nepovredivost podataka Poslodavca; bezbednost i dobro tehničko funkcionisanje njegovih sistema i troškova koji su sa tim povezani; kao i materijalnu zaštitu svih resursa Poslodavca.

4. Primaoci podataka:

Poslodavac ima pravo da Lične podatke dostavi sljedećim Primaocima koji su Obrađivači podataka Poslodavca, koji obrađuju Lične podatke u ime Poslodavca, pod uslovima i u obimu koji je usaglašen sa Poslodavcem u formi pisanog ovlašćenja/ugovora. Konkretno, za potrebe evidencije o Zaposlenom u sistemima Ljudskih resursa, kadrovske evidencije i evidencije o zaradama Zaposlenog, za potrebe obračuna naknada i drugih primanja Zaposlenog, kao i za pružanje informatičkih usluga, arhiviranje dokumentacije, usluge elektronske pošte i drugih hostovanih aplikacija u mjeri neophodnoj za ostvarenje prava i ispunjavanje obaveza koje proizlaze iz Radnog odnosa ugovorenog između Zaposlenog i Poslodavca ili u skladu sa sporazumom između Zaposlenog i Poslodavca.

Spisak Obrađivača podataka u ime Poslodavca u okviru Deloitte-a CE objavljen je i dostupan na sljedećoj adresi, a spisak lokalnih Obrađivača podataka u ime Poslodavca na sljedećoj adresi.

Štampane verzije gore navedenih spiskova su dostupne u lokalnoj Službi ljudskih resursa i daju se na uvid Zaposlenom na lični zahtjev.

Lični podaci Zaposlenog takođe se mogu objelodanjivati nadležnim organima i službama u skladu sa važećim zakonskim propisima.

        5. Iznošenje ličnih podataka iz Crne Gore

Zaposleni se ovim putem obavještava da Poslodavac može Lične podatke Zaposlenog prosljeđivati u gore navedene svrhe Deloitte-u CE i društvima članovima DTTL, kao i njihovim zavisnim i pridruženim društvima, tokom trajanja Radnog odnosa, i u zemlje izvan teritorije EU, koje ne obezbjeđuju uvijek isti nivo zaštite podataka koji zahtjeva zakonodavstvo EU. Takav prijenos podataka u zemlju izvan EU, ili Obrađivaču podataka (navedenom u Spisku Obrađivača podataka u ime Poslodavca u okviru Deloitte-a CE) ili Rukovaocu, obavlja se u skladu sa važećim zakonom, a zasniva se na odgovarajućim ugovornim obavezama odobrenim u EU. U specifičnim situacijama kao što je npr. upućivanje zaposlenih na rad u inostranstvo ili kod drugih poslodavaca ili prijekogranična saradnja, Lični podaci zaposlenog mogu biti proslijeđeni Primaocu izvan EU, i taj Primalac je tada odgovoran za poštovanje i primjenu lokalnih zakonskih propisa prilikom obrade Ličnih podataka.

        6. Rok čuvanja podataka

Podaci će biti predmet obrade dok se svrhe obrade Ličnih podataka ne ispune ili dok to zahtijevaju važeći zakonski propisi. Poslodavac ima pravo da obrađuje Lične podatke Zaposlenog tokom perioda od tri mjeseca nakon raskida radnog odnosa ili tokom perioda definisanog važećim zakonskim propisima. Nakon isteka navedenog perioda, Lični podaci Zaposlenog će biti anonimizovani ili trajno uklonjeni, ukoliko to nije u suprotnosti sa važećim propisima. Evidencija za svako zaposleno lice počinje da se vodi danom početka rada, a prestaje danom prestanka radnog odnosa. U skladu sa Zakonom o evidencijama u oblasti rada i zapošljavanja ("Službeni list Republike Crne Gore", br. 069/03 od 25.12.2003, Službeni list Crne Gore", br. 073/10 od 10.12.2010, 040/11 od 08.08.2011, 045/12 od 17.08.2012), podaci iz propisanih evidencija o zaposlenim licima, koji uključuju Lične podatke o Zaposlenom, čuvaju se trajno.

Zaposleni je odgovoran za tačnost i ažuriranje Ličnih podataka koje je dostavio Poslodavcu. Zaposleni se obavezuje da bez odlaganja obavijesti Poslodavca o svim promjenama Ličnih podataka.

        7. Poverljivost

Tokom i nakon Radnog odnosa, Zaposleni je u obavezi da poštuje i štiti povjerljivost Ličnih podataka Poslodavčevih Zaposlenih, klijenata, eksternih saradnika i dobavljača, kao i drugih fizičkih lica sa kojima dolazi u dodir tokom svog Radnog odnosa, a koji se obrađuju u vezi sa radnim zadacima i dužnostima koje Zaposleni obavlja za Poslodavca. Zaposlenom je zabranjeno da koristi Lične podatke za svoje lične potrebe, objavljuje ih ili ih čini dostupnim bez saglasnosti Poslodavca ili fizičkog lica kojem Lični podaci pripadaju. Ostale obaveze Zaposlenog u vezi sa upravljanjem Ličnim podacima definisane su internim politikama i propisima Poslodavca, a Zaposleni je o njima obaviješten i obavezuje se da će ih poštovati.

        8. Mjere zaštite

Poslodavac će uspostaviti tehnološke, fizičke, administrativne i proceduralne mjere zaštite u skladu sa standardima prihvaćenim u privrednoj grani u kojoj posluje u cilju zaštite i osiguranja povjerljivosti, integriteta i dostupnosti Ličnih podataka koji su predmet obrade. Poslodavac će spriječiti neovlašćenu upotrebu ili neovlašćen pristup Ličnim podacima ili spriječiti kršenje obaveze o zaštiti Ličnih podataka (bezbednosni incident) u skladu sa uputstvima i politikama Deloitte-a i važećim zakonskim propisima. Deloitte posjeduje sertifikat o standardu ISO 27001, opšteprihvaćenom međunarodnom standardu o zaštiti i bezbjednosti informacija.

9. Prava nosilaca Ličnih podataka

Zaposleni ima pravo da u skladu sa članom 43. Zakona od Rukovaoca zahtijeva pristup podacima, pravo na ispravku ili brisanje Vaših podataka o ličnosti u skladu sa čl. 44. Zakona.

Sva navedena prava Zaposleni može ostvariti slanjem pisanog obavještenja lokalnoj Službi ljudskih resursa ili na adresu

Zaposleni takođe ima pravo da uputi zahtjev za zaštitu prava nadzornom organu:

Svojim potpisom, Zaposleni potvrđuje da je obaviješten o pravima koja proizlaze iz Zakona i drugih relevantnih propisa.


1 Deloitte se odnosi na jedno ili više lica Deloitte Touche Tohmatsu Limited („DTTL”), njegovu globalnu mrežu društava članova i njihove povezane entitete (zajedno: „Deloitte organizacija"). DTTL (takođe pod nazivom: „Deloitte Global”) i sva njegova društva članovi i povezana lica predstavljaju pravno zasebne i samostalne entitete, koji jedni prema drugima ne mogu biti obavezani niti odgovorni u odnosu na treća lica. DTTL i svako DTTL društvo član i povezani entitet odgovora samo za svoja dela i propuste, i nije odgovoran za postupke drugih. Deloitte ne pruža usluge klijentima. Za više informacija, molimo vas posetite

Did you find this useful?