Avature – Privacy notice

INFORMATION OF PERSONAL DATA PROCESSING

Information provided by the Data Controller: Deloitte ДОО Скопје¹

(hereinafter the “Employer”)

        In accordance with Article 17. of the Law on personal data protection ("Official Gazette of Republic of North Macedonia" No.42//20 and 294/21) (hereinafter the “Personal Data Act”), the Employee acknowledges that his/her Personal Data are processed by the Employer as the Data Controller. The processing is carried under the Employment Contract between the Employee and the Employer, in connection with, or in relation to the performance of the Employee’s work for the Employer and also covers the purposes of use of the Employer’s information systems and compliance with the internal policies of DTTL member firms and their respective subsidiaries and affiliates.
 

       1. Definitions:

(The below definitions serve for nomenclature purposes solely and in specific cases do not establish any existence of the Employment relationship in accordance with the Employment Act ("Off. Herald of Republic of Macedonia", 62/05, 106/08, 161/08, 114/09, 130/09, 50/10, 52/10, 124/10, 47/11, 11/12, 39/12, 13/13, 25/13, 170/13, 187/13, 113/14, 20/15, 33/15, 72/15, 129/15, 27/16, 120/18 and ("Official Gazette of Republic of North Macedonia" nos. 110/19, 267/20, 151/21 and 288/21) (hereinafter the “Labour Code”)

„Data Controller“ shall mean the natural or legal person, public authority, agency or other body which alone or jointly with others, determines the purposes and means of the processing of Personal Data. In relation to the Employee Personal Data the Controller is his/her Employer / affiliate of Deloitte CE.

“Employee” shall mean any person in Employment or in a similar Employment relationship (contract for work) or other contractual relationship with the Employer, including statutory representatives, proxies, professional advisors and consultants of the Employer.

“Employment” under this information shall also include similar Employment relationships or other contractual relationships of individuals active for the Employer when applicable.

“Employment Contract” under this information shall mean the contract establishing the Employment as defined above.

“Personal Data” means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

“Processor” means a natural or legal person, public authority, agency or other body which processes Personal Data on behalf of the Data Controller.

„Recipient“ means a natural or legal person, public authority, agency or another body, to which the Personal Data are disclosed. In relation to Employee Personal Data the Recipients can be e.g. Employee(-s) of Controller, Processor(-s) or Employee(-s) of Processor. Public authorities which may receive Personal Data in the framework of a particular inquiry in accordance with the law shall not be regarded as Recipients.

        2. Extent of the processing:            

The Employer processes the Personal Data of the Employee to the following extent:

• Personal Data to the extent required by the relevant legislation (Labour Code and other legislation related to the Employment);

• Personal Data submitted by the Employee before entering into the Employment relationship;

• Personal Data relating to the Employee’s professional qualifications and experience;

• Other Personal Data relating to the Employee’s Employment with the Employer and performance of his/her obligations related to the Employment relationship (for example: performance management data, data on trainings and e-learnings attendance, phone-call lists, usage of Deloitte devices and systems etc.); and

• Photographs, video and audio recordings of the Employee.

        3. Purpose of processing of the Personal Data by the Employer:

        The purpose of processing the Personal Data is for the Employer to exercise its rights and obligations pursuant to Labour Code, the Employment Contract and other relevant legislation, in particular, with regard to maintaining HR and payroll agenda, to acts relating to performance of the Employee’s obligations related to the Employment, Employee trainings and education, benefits, and connected to offering and providing the Employer’s services to the clients as specified in more detail in paragraph below.

        The Employer is also entitled to process the Personal Data for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system. Processing in this extent is based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality. This includes, among others, prevention and remedy of any technical problems, prevention and suppression of activities that are intentionally illegal, contrary to the public order or that are wilfully damaging to any third party’s rights and dignity, prevention and suppression of any violation of intellectual property rights as well as confidentiality and integrity of Employer’s data, the security and good technical functioning of its systems and the costs relative thereto, as well as the material protection of all Employer’s resources.

        4. Recipients of Personal Data:

The Employer is entitled to provide Employee’s Personal Data to the following Recipients that are the Employer's Data Processors, who process the Personal Data on behalf of the Employer, under the conditions and to the extent agreed with the Employer in a written authorisation/contract. In particular, for the purpose of the Employee’s records in the HR systems, processing of his/her HR and payroll records, providing Employee benefits and also to provide IS services, document archiving, e-mail services and other hosted applications services and to the extent necessary for the performance of rights and obligations arising from the Employment relationship between the Employee and the Employer or as agreed between the Employee and the Employer as well as for the purpose of monitoring Employee compliance with relevant Employer’s policies relating to security of Employer’s devices and system based on Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial and financial interests and in particular compliance with the rules of confidentiality.

The list of the Employer's Data Processors within Deloitte CE is published and accessible here, and the list of the local Employer’s Data Processors is published and accessible here.

        Paper versions of the above-mentioned lists are available at the local HR department and are provided to the Employee upon his/her request.

        The Personal Data of Employee may also be disclosed to the competent authorities as authorized by the applicable laws.

        5. Requirements for exporting of data

        The Employee is hereby informed that the Employer may provide the Employee’s Personal Data for the purposes as specified above to Deloitte CE and DTTL member firms and their respective subsidiaries and affiliates during the term of the Employment, even to countries outside of the EU territory which do always not ensure the same level of protection as required by the EU legislation. Such transfers to countries outside of the EU either to the Processor (as indicated in the list of the Employer's Data Processors within Deloitte CE) or Controller are based on the EU approved Standard Contractual Clauses and in accordance with the Personal Data Act. In specific situations such as e.g. mobility programme or cross-border cooperation provision, Employee’s Personal Data can be transferred to the Recipient outside the EU and it is responsibility of such Recipient to comply with the local law when processing the Personal Data.

        6. Data Retention

The data will be processed until the purposes of processing such Personal Data are fulfilled; or as required by the applicable legislation. The Employer is entitled to process the Personal Data of the Employee for a period of three years after the Employment relationship is terminated or as required by the applicable legislation. After this period expires, Personal Data of Employee will be anonymised or permanently deleted, unless otherwise is regulated by the applicable legislation. Employee’s records will be kept starting from the day of commencement of work and will stop upon termination/expiry of employment. In accordance with the Law on employment records (“Off. Gazette of Republic of Macedonia” nos. 16/04, 102/08, 17/11, 166/12, 11/13 и 147/15 и „Off. Gazette of Republic of North Macedonia” no. 18/20), employment records, that include Employee’s Personal Data, are permanently kept.

        The Employee is responsible for the accuracy and update of the Personal Data he/she has provided to the Employer. The Employee undertakes to notify the Employer of any changes in the Personal Data provided without undue delay.

7. During and after the Employment relationship, the Employee is obliged to keep confidential the Personal Data of the Employer’s Employees, clients, external suppliers, and other natural persons met by the Employee in the course of his/her Employment, which are processed in connection with his/her job duties performed for the Employer; he/she may not use the Personal Data for personal purposes, and he/she may not publish them or make them accessible without the Employer’s or the particular natural person´s consent. Other obligations of the Employee related to work with Personal Data are specified in the Employer’s internal policies and regulations, of which the Employee was informed and which he/she undertakes to comply with.  

8. Employer shall establish technological, physical, administrative and procedural safeguards all in line with the industry accepted standards in order to protect and ensure the confidentiality, integrity or accessibility of the Personal Data processed; prevent the unauthorized use of or unauthorized access to the Personal data or prevent a Personal Data breach (security incident) in accordance with Deloitte instructions, policies and applicable laws. Deloitte is a holder of ISO 27001 certification – widely recognized global information standard.   

9. Data Subjects' Rights

Employee has right to: 

• request access to your personal data (and request a copy of the personal data that we process),  
• request us to update and correct your personal data (right to rectification),  
• request us to delete your personal data (where possible), 
• require a restriction on the processing of your data,  
• transfer of personal data, and 

Employee may object to the processing.

You can enforce all rights described here can be enforced by sending e-mail to: cersprivacy@deloittece.com, or by contacting:

Sanja Arizanov
sarizanov@deloittece.com

It is also the right of each Employee, in accordance the Personal Data Act, to lodge a complaint with the data protection regulator, in case you are of an opinion that the processing of your personal data infringes the Personal Data Act https://dzlp.mk/.

To learn more about your data subject’s right, please read 1604.03 Data Subjects’ Rights Execution policy available here.

    By signing, the Employee confirms that he/she was informed of:

• his/her rights arising from the Personal Data Act and other relevant legislation;
• the fact that the provision of Personal Data processed under this information is compulsory.

^{1  Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients. Please see www.deloitte.com/about  to learn more.}  

ИЗВЕСТУВАЊЕ ЗА ОБРАБОТКА НА ЛИЧНИТЕ ПОДАТОЦИ

Информациите ги доставува Deloitte1 ДОО Скопје (во понатамошниот текст: “Работодавачот”)

Во согласност со членот 17. од Законот за заштита на личните податоци („Службен весник на Република Северна Македонија“ бр. 42/20 и 294/21) (во понатамошниот текст: “Закон за лични податоци”), и со Општата регулатива за заштита не податоците (GDPR), Вработениот е согласен со обработката на своите лични податоци од страна на Работодавачот како Ракувач со податоци. Обработката на податоците се врши во согласност со Договорот за работа на Вработениот за Работодавачот во врска со, или за потребите за извршување на работата на Вработениот за Работодавачот, а исто така и за потребите на користење на информациските системи на Работодавачот и обезбедување на усогласеност со интерните политики на друштвата членки на DTTL и нивните зависни и поврзани лица.

1. Дефиниции:

(Дефинициите на термините наведени во текстот кој следи се исклучиво за потребите на овој документ и во конкретните случаи не можат да бидат основ за констатирање или воспоставување на евентуален работен однос во согласност со важечкиот Закон за работни односи („Службен весник на Република Македонија“ бр. 62/05, 106/08, 161/08, 114/09, 130/09, 50/10, 52/10, 124/10, 47/11, 11/12, 39/12, 13/13, 25/13, 170/13, 187/13, 113/14, 20/15, 33/15, 72/15, 129/15, 27/16, 120/18 и „Службен весник на Република Северна Македонија“ бр. 110/19, 267/20, 151/21 и 288/21) (во понатамошниот текст: “Закон за работни односи”)).

“Ракувач со податоци” означува физичко или правно лице, државен орган, институција или некој друг орган кој, самостојно или заедно со други лица или органи, ги утврдува потребите или средствата за обработка на Личните податоци. Во однос на Личните податоци на Вработениот, Ракувачот со податоци е неговиот Работодавач / фирма членка на Deloitte CE.

“Вработен” го означува секое лице во работен однос или друг вид на работен ангажман со Работодавачот, вклучувајќи ги законските претставници, застапници, стручни соработници и советници на Работодавачот.

“Работен однос” за потребите на овој документ ги опфаќа и ангажирањата кои не се работен однос (договор за привремени и повремени работи, договор за стручно усовршување, договор за дело и сл.) и други договорни односи со физички лица кои се ангажираат за Работодавачот по потреба.

“Договор за работа” за потребите на овој документ означува договор со кој се воспоставува и регулира Работниот однос дефиниран во погорната точка.

“Лични податоци” е термин со кој се означуваат сите информации кои се однесуваат на физичко лице кое е идентификувано или лице кое може да се идентификува; лице кое може да се идентификува е лице чија идентификација е возможна, директна или индиректна, на основа на идентификацискиот податок како што е име, идентификациски број, податок за место на живеење, податок за идентификација на интернет или еден или повеќе податоци специфични за физичкиот, физиолошкиот, генетскиот, менталниот, економскиот, културниот и општествениот идентитет на тоа физичко лице.

“Обработувач” означува физичко или правно лице, државен орган, институција или некој друг орган кој обработува Лични податоци во име на и за Ракувачот со податоци.

“Примател“ означува физичко или правно лице, државен орган, институција или друг орган на кого се обелоденуваат Лични податоци. Во однос на Личните податоци на Вработениот, Приматели може да бидат Вработениот на Ракувачот, Обработувач(и) или Вработениот на Обработувачот. Државните органи кои Личните податоци може да ги примат во рамки на одредена истрага во согласност со законските прописи, не се сметаат за Приматели.

2. Обем на обработка:

Работодавачот обработува Лични податоци на Вработениот во следниов обем:

• Лични податоци во мера во која обработката се бара во согласност со важечките релевантни законски прописи (Закон за работни односи, со Законот за евиденциите во областа на трудот и други закони и прописи во врска со Работниот однос);
• Лични податоци кои Вработениот ги доставува пред стапување во Работен однос;
• Лични податоци кои се однесуваат на стручна спрема и искуство;
• Останати лични податоци во врска со Работниот однос на Вработениот кај Работодавачот и извршувањето на неговите обврски од Работниот однос (пр. Податоци за работните резултати, податоци за посетување обуки и on-line тренинзи, список на телефонски разговори итн. ); и
• Фотографии, видео и аудио снимки на Вработениот.

3. Цел на обработка на Личните податоци од страна на Работодавачот

Работодавачот ги обработува Личните податоци на Вработениот со цел остварување права и обврски во согласност со Законот за работни односи, Договор за работа и други релевантни прописи, пред се во врска со водењето на евиденција од страна на службата за Човечки ресурси и пресметката на плата, мерките кои се однесуваат на извршувањето на обврските на Вработениот кои произлегуваат од Работниот однос, едукација и обуки на Вработените, надомест на Вработените, како и во врска со понудата и пружањето услуги од страна на Работодавачот на клиентите, како што е подетално објаснето во наредниот параграф.

Работодавачот, исто така, има право да ги обработува личните податоци со цел да ја следи усогласеноста на вработените со релевантните политики на работодавачот кои се однесуваат на безбедноста на уредите и системот на работодавачот. Обработката во овој обем се заснова на легитимниот интерес на работодавачот во обезбедувањето на неговиот деловен континуитет и заштита на неговите економски, комерцијални и финансиски интереси и особено усогласеност со правилата за доверливост. Ова вклучува, меѓу другото, спречување и отстранување на какви било технички проблеми, спречување и забрана на активности кои се прават намерно а се незаконски, спротивни на јавниот поредок или кои намерно ги нарушуваат правата и достоинството на која било трета страна, спречување и забрана на секое нарушување на интелектуални права на сопственост, како и доверливост и интегритет на податоците на работодавачот, безбедност и добро техничко функционирање на неговите системи и трошоците поврзани со нив, како и материјалната заштита на сите ресурси на работодавачот.

4. Приматели на лични податоци:

Работодавачот има право да ги доставува Личните податоци на следниве Приматели кои се Обработувачи на податоци на Работодавачот, под услови и во обем кој е усогласен со Работодавачот во форма на писмено овластување/договор. Конкретно, за потребите на евиденција на Вработените во системите за човечки ресурси, кадровска евиденција и евиденција на плата на Вработениот, за потребите на пресметка на плата и други примања на Вработениот, како и за пружање на информатички услуги, архивирање на документација, услуги на електронска пошта и други хостирани апликации во мерка која е неопходна за остварувањето на права и исполнување на обврски кои произлегуваат од Работниот однос кој е договорен помеѓу Вработениот и Работодавачот или во согласност со спогодба помеѓу Вработениот и Работодавачот.

Списокот на Обработувачи на податоци во име на Работодавачот во рамките на Deloitte CE е објавен и достапен на следнава адреса, a cписок на локални Обработувачи на податоци во име на Работодавачот, е објавен и достапен на следнава адреса.

Печатените верзии на горенаведените списоци се достапни во локалната служба за човечки ресурси и може да се дадат на увид на Вработениот по лично барање.

Личните податоци на Вработениот, исто така, може да бидат обелоденети на надлежни органи и служби во согласност со важечките законски прописи.

5. Барања за извезување на податоци

На овој начин, Вработениот се известува дека Работодавачот може Личните податоци на Вработениот да ги проследи, во горенаведените цели, до Deloitte CE и друштвата членки на DTTL, како и нивните зависни и придружни друштва, во текот на траењето на работниот однос, и во земјите надвор од територијата на ЕУ, кои не обезбедуваат исто ниво на заштита на податоците како што се бара од страна на ЕУ: Таквиот пренос на податоци надвор од земјите не ЕУ, или до Обработувачот на податоци (наведен во Списокот на Обработувачи во име на Работодавачот и во рамките на Deloitte СЕ) или Ракувачот, се заснова на стандардни договорни одредби одобрени во ЕУ и во согласност со Законот за лични податоци. ВО специфични ситуации како што е на пример упатување на вработени на работа во странство или кај други работодавачи или прекугранична соработка, Личните податоци на вработениот може да бидат проследени до Примателот надвор од ЕУ, и тогаш тој Примател е одговорен за почитување и примена на локалните законски прописи во текот на обработката на Личните податоци.

6. Задржување на податоци

Податоците ќе бидат предмет на обработка се додека целите за обработка на Личните податоци не се исполнат или додека тоа го бараат важечките законски прописи. Работодавачот има право да обработува Лични податоци на вработениот во текот на период од три месеци по раскинувањето на работниот однос или во текот на периодот дефиниран со важечките законски прописи. По истекот на наведениот период, Личните податоци на Вработениот ќе бидат анонимизирани или трајно отстранети, доколку тоа не е спротивно на важечките законски прописи. Евиденцијата за вработените работници за определен работник почнува да се води со денот на засновањето на работниот однос, а престанува да се води со денот на престанокот на работниот однос. Во согласност со Законот за евиденциите во областа на трудот („Службен весник на Република Македонија” бр. 16/04, 102/08, 17/11, 166/12, 11/13 и 147/15 и „Службен весник на Република Северна Македонија” бр. 18/20) податоците за работникот од пропишаната евиденција за вработените лица, вклучително и Личните податоци, се чуваат како документ од трајна вредност.

Вработениот е одговорен за точност и ажурирање на Личните податоци кои ги доставил на Работодавачот. Вработениот се обврзува без одложувања да го извести Работодавачот за сите промени во Личните податоци.

7. Доверливост

Во текот на и по Работниот однос, Вработениот има обврска да ја почитува и штити доверливоста на Личните податоци на Вработените на Работодавачот, клиентите, екстерните соработници и добавувачи, како и други физички лица со кои доаѓа во контакт во текот на својот Работен однос, а кои се обработуваат во врска со работните задачи и должности кои Вработениот ги извршува на Работодавачот. На Вработениот му е забрането да користи Лични податоци за свои лични интереси, да ги објавува или направи достапни без согласност на Работодавачот или физичкото лице на кое му припаѓаат Личните податоци. Останатите обврски на Вработениот во врска со работата со Личните податоци се дефинирани со интерни политики и процедури на Работодавачот, а Вработениот е известен за истите и се обврзува дека ќе ги почитува.

8. Безбедност на податоците

Работодавачот ќе воспостави технолошки, физички, административни и процедурални мерки на заштита во согласност со стандардите прифатени во секторот во кој што работи со цел заштита и осигурување на доверливоста, интегритетот и достапноста на Личните податоци кои се предмет на обработка. Работодавачот ќе спречи неовластена употреба или неовластен пристап до Личните податоци или ќе спречи кршење на обврските за заштита на Личните податоци (безбедносен инцидент) во согласност со упатствата и политиките на Deloitte и важечките законски прописи. Deloitte поседува сертификат за стандардот ISO 27001, општоприфатен меѓународен стандард за заштита и безбедност на информациите.

9. Право на носителите на Лични податоци

Како носител на Лични податоци, Вработениот има право да побара пристап до своите Лични податоци и право на измена или бришење на своите Лични податоци, ограничување на обработката како и забелешки на обработката, како и право на пренос на податоците. Сите наведени права Вработениот може да ги оствари со испраќање на писмено известување до локалната Служба за човечки ресурси или на адресата cersprivacy@deloittece.com.

Податоци за контакт со локалниот Офицер за заштита на лични податоци:
Сања Аризанов
sarizanov@deloittece.com

Исто така, вработените имаат право да упатат жалба до надлежниот орган за заштита на личните податоци: https://dzlp.mk/.

За да дознаете повеќе за правото на субјектот за заштита на податоци, прочитајте ја 1604.03 политиката за извршување права на субјектот за заштита на податоци достапна овде.

        Со својот потпис, Вработениот потврдува дека е:

• известен за правата кои произлегуваат од Законот за лични податоци и други релевантни прописи,
• се согласува со обработката на личните податоци во согласност со ова Известување.

^{1 Deloitte се однесува на едно или повеќе лица на Deloitte Touche Tohmatsu Limited (“DTTL”), неговата глобална мрежа на друштва членки и нивните поврзани ентитети (заедно “Deloitte организација”). DTTL (уште познат под називот “Deloitte Global”) и сите негови друштва членки и поврзани лица претставуваат посебни и самостојни правни ентитети, кои едни кон други не можат да бидат обврзани ниту одговорни во однос на трети лица. DTTL и секое DTTL друштво член и поврзан ентитет е одговорно само за своите дела и пропусти, и не е одговорно за постапките на другите. DTTL не обезбедува услуги на клиентите. За да дознаете повеќе Ве молиме погледнете на www.deloitte.com/about.}