Politika privatnosti — DeCo aplikacija
DeCo je mobilna aplikacija namenjena klijentima kompanije UrilSolutions (u daljem tekstu „mi", „naša kompanija") za pregled stanja duga, dogovaranje obećanja uplate (PTP), generisanje QR koda za plaćanje i komunikaciju sa našim operaterima. Ova politika opisuje koje podatke prikupljamo, zašto, koliko ih čuvamo i koja prava imate.
1. Ko je rukovalac podataka
Rukovalac podataka u smislu Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS", br. 87/2018) i GDPR-a (Uredba EU 2016/679) je:
UrilSolutions
Matice srpske 75, Beograd, Srbija
Matični broj: 63560073
Za sva pitanja o privatnosti i zaštiti podataka kontaktirajte: privacy@uril.rs
2. Koje podatke prikupljamo i zašto
2.1 Podaci koje aktivno unosite
| Podatak | Svrha | Pravni osnov |
|---|---|---|
| Matični broj / ID klijenta | Identifikacija u našem sistemu naplate | Izvršenje ugovora |
| Broj telefona | Slanje OTP koda za prijavu, potvrda identiteta | Izvršenje ugovora |
| Sadržaj poruka prema operateru | Komunikacija u vezi vašeg duga | Izvršenje ugovora |
| Iznos i datum obećanja uplate (PTP) | Evidencija dogovora | Izvršenje ugovora |
2.2 Podaci koje prikupljamo automatski
| Podatak | Svrha | Pravni osnov |
|---|---|---|
| ID uređaja (anoniman UUID) | Vezivanje sesije za uređaj, sprečavanje neovlašćenog pristupa | Legitimni interes (sigurnost) |
| Push token (FCM) | Slanje notifikacija (npr. nova poruka operatera, podsetnik o dugu) | Pristanak (možete isključiti u podešavanjima sistema) |
| Verzija aplikacije, verzija OS-a | Tehnička podrška, usmeravanje na obavezne nadogradnje | Legitimni interes |
| Vreme prijave i odjave | Sigurnosna evidencija | Legitimni interes (sigurnost) |
2.3 Šta NE prikupljamo
Eksplicitno NE prikupljamo:
- Lokaciju uređaja (GPS)
- Listu kontakata
- Slike, video ili audio sa uređaja
- Pristup kameri ili mikrofonu
- ID dokumenta (lična karta, pasoš)
- Bilo koje podatke iz drugih aplikacija na uređaju
Aplikacija ne sadrži reklame, ne koristi analitičke alate trećih lica (Google Analytics, Facebook Pixel, itd.), ne deli podatke sa oglašivačima.
2.4 Biometrijski podaci
Aplikacija koristi otisak prsta ili Face ID isključivo lokalno na vašem uređaju za otključavanje aplikacije pri ponovnom otvaranju. Biometrijski podaci se nikada ne prenose na naš server niti gde drugde — operacija provere se obavlja u sigurnom enklavu vašeg telefona (Android Keystore / iOS Secure Enclave).
3. Sa kim delimo podatke
Google LLC (Firebase Cloud Messaging) — push token i sadržaj notifikacija prolaze kroz Google FCM infrastrukturu radi isporuke notifikacija. Google čuva ove podatke u skladu sa svojom politikom privatnosti.
Bančin sistem CRM — vaši finansijski podaci (dugovanja, krediti, uplate) se nalaze u sistemu banke ili davaoca kredita kome ste klijent. UrilSolutions pristupa tim podacima u svojstvu obrađivača (procesora) na osnovu ugovora sa odgovarajućom finansijskom institucijom.
Ne prodajemo podatke trećim licima. Ne delimo podatke u marketinške svrhe.
4. Koliko dugo čuvamo podatke
| Podatak | Period čuvanja |
|---|---|
| Aktivan nalog (broj telefona, ID uređaja, push token) | Dok je nalog aktivan |
| Posle brisanja naloga: poruke, PTP, evidencija duga | U skladu sa zakonskim obavezama (Zakon o zaštiti potrošača, Zakon o bankama, propisi NBS-a) — minimum 5 godina, do 10 godina za potrošačke kredite |
| Sadržaj sesija (refresh token, OTP) | Do isteka sesije ili 30 dana, šta god je kraće |
| Audit logovi (vreme prijave/odjave) | 1 godina |
5. Bezbednost podataka
- Sva komunikacija između aplikacije i naših servera je šifrovana TLS 1.2+ protokolom.
- Aplikacija primenjuje certificate pinning — odbija konekciju ako sertifikat servera ne odgovara unapred poznatom skupu otisaka.
- Refresh tokeni i pristupni tokeni čuvaju se u
Android Keystore/iOS Keychain— šifrovano u hardverskom modulu telefona. - Backup aplikacije na Google Drive / iCloud je onemogućen — podaci ostaju na uređaju.
- Aplikacija primenjuje obfuskaciju koda (R8 / ProGuard) i strip-uje resurse u release verziji.
6. Vaša prava (GDPR i ZZPL)
Imate sledeća prava:
- Pravo na pristup — možete tražiti kopiju svih podataka koje imamo o vama.
- Pravo na ispravku — netačne podatke ćemo ispraviti bez odlaganja.
- Pravo na brisanje („pravo da budem zaboravljen") — možete obrisati nalog direktno iz aplikacije: Podešavanja → Obriši nalog. Podaci se brišu u skladu sa odeljkom 7 ovog dokumenta.
- Pravo na ograničenje obrade — možete tražiti da privremeno zaustavimo obradu vaših podataka.
- Pravo na prenosivost — podatke možete dobiti u strukturiranom, mašinski čitljivom formatu (JSON ili CSV).
- Pravo na prigovor — možete uložiti prigovor na obradu zasnovanu na legitimnom interesu.
Kontakt za ostvarivanje prava: privacy@uril.rs. Odgovaramo u roku od 30 dana.
7. Brisanje naloga
Nalog možete obrisati iz aplikacije: Podešavanja → Obriši nalog. Posle potvrde:
- Vaš broj telefona se uklanja iz naše baze (zamena vrednošću
NULL). - Push token se briše iz Google FCM registra.
- Svi vaši uređaji se deregistruju i sesije gase.
- Ne možete se ponovo prijaviti istim nalogom — ako želite ponovo da koristite aplikaciju, ponovo se registrujete kao nov korisnik.
Šta ostaje: podaci o dugovanju, uplatama i istoriji poruka ostaju u sistemu naše kompanije i sistema banke u skladu sa zakonskim obavezama čuvanja (videti odeljak 4). Ovi podaci se anonimizuju u meri u kojoj je to moguće bez kršenja zakonskih obaveza.
8. Prijava nadzornom organu
Ako smatrate da je vaše pravo na zaštitu podataka prekršeno, imate pravo na prigovor kod:
Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti
Bulevar kralja Aleksandra 15, 11000 Beograd
office@poverenik.rs
www.poverenik.rs
9. Izmene ove politike
Ova politika se može menjati. Bitne izmene biće saopštene kroz aplikaciju ili e-mailom (ako ste ostavili kontakt). Datum poslednje izmene je naveden na vrhu dokumenta.
Privacy Policy — DeCo Application
DeCo is a mobile application provided by UrilSolutions (hereinafter "we", "our company") to clients of financial institutions for whom we provide debt-management services. The application allows clients to view debt status, arrange Promise to Pay (PTP) commitments, generate payment QR codes, and chat with our operators. This policy describes what data we collect, why, how long we retain it, and the rights you have.
1. Data Controller
The data controller within the meaning of the Serbian Personal Data Protection Act (Official Gazette of RS, No. 87/2018) and the GDPR (EU Regulation 2016/679) is:
UrilSolutions
Matice srpske 75, Belgrade, Serbia
Company registration number: 63560073
For all privacy-related questions: privacy@uril.rs
2. Data We Collect and Why
2.1 Data You Actively Provide
| Data | Purpose | Legal Basis |
|---|---|---|
| Client ID / Customer ID | Identification in our debt-management system | Performance of contract |
| Phone number | Sending OTP for sign-in, identity verification | Performance of contract |
| Message content sent to operators | Communication regarding your debt | Performance of contract |
| PTP amount and date | Recording payment commitments | Performance of contract |
2.2 Data Collected Automatically
| Data | Purpose | Legal Basis |
|---|---|---|
| Device ID (anonymous UUID) | Binding session to device, preventing unauthorized access | Legitimate interest (security) |
| Push token (FCM) | Delivering push notifications (new operator messages, debt reminders) | Consent (revocable in OS settings) |
| App version, OS version | Technical support, mandatory-update routing | Legitimate interest |
| Sign-in / sign-out timestamps | Security audit trail | Legitimate interest (security) |
2.3 Data We DO NOT Collect
We explicitly do NOT collect:
- Device location (GPS)
- Contact list
- Photos, videos, or audio from the device
- Camera or microphone access
- ID document data (passport, national ID)
- Data from other apps on the device
The app contains no advertising, uses no third-party analytics tools (Google Analytics, Facebook Pixel, etc.), and does not share data with advertisers.
2.4 Biometric Data
The app uses fingerprint or Face ID exclusively locally on your device to unlock the app on subsequent opens. Biometric data is never transmitted to our servers or anywhere else — verification happens within your phone's secure enclave (Android Keystore / iOS Secure Enclave).
3. With Whom We Share Data
Google LLC (Firebase Cloud Messaging) — push tokens and notification content pass through Google FCM infrastructure for delivery. Google retains this data per its own privacy policy.
Bank's CRM system — your financial data (debts, loans, payments) resides in the systems of the bank or lender of which you are a client. UrilSolutions accesses this data as a processor under contract with the relevant financial institution.
We do not sell data to third parties. We do not share data for marketing purposes.
4. How Long We Retain Data
| Data | Retention Period |
|---|---|
| Active account (phone, device ID, push token) | While the account is active |
| After account deletion: messages, PTPs, debt records | As required by law (Consumer Protection Act, Banking Act, NBS regulations) — minimum 5 years, up to 10 years for consumer credit |
| Session data (refresh token, OTP) | Until session expiry or 30 days, whichever is shorter |
| Audit logs (sign-in/sign-out) | 1 year |
5. Data Security
- All communication between the app and our servers uses TLS 1.2+ encryption.
- The app implements certificate pinning — connections are rejected if server certificates do not match a pre-known fingerprint set.
- Refresh and access tokens are stored in
Android Keystore/iOS Keychain— encrypted within the phone's hardware security module. - Cloud backup of app data (Google Drive / iCloud) is disabled — data stays on the device.
- The app applies code obfuscation (R8 / ProGuard) and resource shrinking in release builds.
6. Your Rights (GDPR and Serbian PDPA)
You have the following rights:
- Right of access — request a copy of all data we hold about you.
- Right to rectification — incorrect data will be corrected without delay.
- Right to erasure ("right to be forgotten") — delete your account directly from the app: Settings → Delete Account. Data is deleted per Section 7.
- Right to restriction of processing — request that we temporarily halt processing your data.
- Right to data portability — receive your data in a structured, machine-readable format (JSON or CSV).
- Right to object — object to processing based on legitimate interest.
Contact for exercising rights: privacy@uril.rs. We respond within 30 days.
7. Account Deletion
You can delete your account from the app: Settings → Delete Account. Upon confirmation:
- Your phone number is removed from our database (replaced with
NULL). - Push token is removed from Google FCM.
- All your devices are deregistered and sessions terminated.
- You cannot sign back in with the same account — to use the app again you must register as a new user.
What remains: debt, payment, and message-history data stays in our systems and the bank's systems as required by retention laws (see Section 4). Such data is anonymized to the extent legally possible.
8. Filing Complaints
If you believe your data protection rights have been violated, you have the right to lodge a complaint with:
Commissioner for Information of Public Importance and Personal Data Protection
Bulevar kralja Aleksandra 15, 11000 Belgrade, Serbia
office@poverenik.rs
www.poverenik.rs
9. Changes to This Policy
This policy may be updated. Material changes will be communicated through the app or by email (if you have provided a contact). The date of the last revision is at the top of this document.