Translations proofread by EDPB Members. This language version has not yet been proofread.

Stranica 16. od 16.





Translations proofread by EDPB Members.

This language version has not yet been proofread.







Standardne ugovorne klauzule


U svrhu članka 28. stavka 3. Uredbe 2016/679 (Opća uredba o zaštiti podataka)


između


[IME]

MATIČNI BROJ SUBJEKTA [MBS]

[ADRESA]

"[POŠTANSKI BROJ I GRAD]"

[ZEMLJA]


(voditelj obrade podataka)


i


[IME]

MATIČNI BROJ SUBJEKTA [MBS]

[ADRESA]

"[POŠTANSKI BROJ I GRAD]"

[ZEMLJA]


(izvršitelj obrade podataka)


pojedinačno „stranka”, zajedno „stranke”


SPORAZUMJELI SU SE o sljedećim ugovornim klauzulama (u daljnjem tekstu: klauzule) radi ispunjavanja zahtjeva Opće uredbe o zaštiti podataka (GDPR) i osiguranja zaštite prava ispitanika.




  1. Preambula


  1. Ovim ugovornim klauzulama (u daljnjem tekstu: klauzule) utvrđuju se prava i obveze voditelja obrade podataka i izvršitelja obrade podataka prilikom obrade podataka u ime voditelja obrade podataka.


  1. Cilj je ovih klauzula osigurati postupanje stranaka u skladu s člankom 28. stavkom 3. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka).


  1. U kontekstu pružanja [NAZIV USLUGE], izvršitelj obrade podataka obradit će osobne podatke u ime voditelja obrade podataka u skladu s ovim klauzulama.


  1. Klauzule imaju prednost u odnosu na sve slične odredbe drugih sporazuma između stranaka.


  1. Klauzulama su priložena četiri dodatka koja čine njihov sastavni dio.


  1. Dodatak A sadrži pojedinosti o obradi osobnih podataka, uključujući svrhu i prirodu obrade, vrstu osobnih podataka, kategoriju ispitanika i trajanje obrade.


  1. Dodatak B sadrži uvjete koje je utvrdio voditelj obrade podataka i pod kojima izvršitelj obrade podataka može angažirati podizvršitelje kao i popis podizvršitelja koje je odobrio voditelj obrade podataka.


  1. Dodatak C sadrži upute voditelja obrade podataka u pogledu obrade osobnih podataka, minimalnih sigurnosnih mjera koje mora provesti izvršitelj obrade podataka te upute o provođenju revizije nad izvršiteljem obrade podataka i svim podizvršiteljima.


  1. Dodatak D sadrži odredbe o drugim aktivnostima koje nisu obuhvaćene ovim klauzulama.


  1. Obje stranke moraju čuvati klauzule zajedno s dodatcima u pisanom obliku, uključujući i elektronički.


  1. Klauzule ne izuzimaju izvršitelja obrade podataka od obveza kojima izvršitelj obrade podataka podliježe, u skladu s Općom uredbom o zaštiti podataka (GDPR) ili drugim zakonodavstvom.

  1. Prava i obveze voditelja obrade podataka


  1. Voditelj obrade podataka odgovoran je osigurati da se obrada osobnih podataka odvija u skladu s GDPR-om (vidjeti članak 24. GDPR-a), primjenjivim propisima EU-a ili države članice1 o zaštiti podataka i ovim klauzulama.


  1. Voditelj obrade ima pravo i obvezan je donositi odluke o svrhama i sredstvima obrade osobnih podataka.


  1. Voditelj obrade odgovoran je, među ostalim, osigurati da obrada osobnih podataka koja se povjerava izvršitelju obrade ima pravnu osnovu.

  1. Izvršitelj obrade podataka postupa u skladu s uputama


  1. Izvršitelj obrade podataka obrađuje osobne podatke samo u skladu s dokumentiranim uputama voditelja obrade podataka, osim ako to zahtijeva pravo Europske unije ili države članice kojem podliježe izvršitelj obrade podataka. Te upute treba navesti u dodacima A i C. Dodatne upute voditelj obrade podataka može dati i za vrijeme obrade osobnih podataka, ali ih uvijek treba dokumentirati i čuvati u pisanom obliku, uključujući elektronički, zajedno s ovim klauzulama.


  1. Izvršitelj obrade podataka mora odmah obavijestiti voditelja obrade podataka u slučaju da izvršitelj obrade podataka smatra da upute voditelja obrade podataka nisu u skladu s odredbama GDPR-a ili primjenjivim odredbama Europske unije ili države članice o zaštiti podataka.


[NAPOMENA: STRANKE MORAJU PREDVIDJETI I UZETI U OBZIR POSLJEDICE KOJE MOGU NASTATI OD BILO KOJIH POTENCIJALNO NEZAKONITIH UPUTA VODITELJA OBRADE PODATAKA I UREDITI IH UGOVOROM IZMEĐU STRANAKA.]

  1. Povjerljivost


  1. Izvršitelj obrade podataka odobrava pristup osobnim podatcima koji se obrađuju u ime voditelja obrade podataka samo osobama u nadležnosti izvršitelja obrade podataka koje su se obvezale na povjerljivost ili koje podliježu zakonskoj obvezi povjerljivosti i samo na temelju načela nužnog poznavanja. Popis osoba kojima je odobren pristup potrebno je periodično pregledavati. Na temelju tog pregleda, moguće je opozvati pristup osobnim podatcima ako više nije potreban i ako osobni podatci više ne trebaju biti dostupni tim osobama.


  1. Izvršitelj obrade podataka mora na zahtjev voditelja obrade podataka dokazati da navedene osobe u nadležnosti izvršitelja obrade podataka podliježu navedenoj obvezi povjerljivosti.

  1. Sigurnost obrade


  1. U članku 32. GDPR-a propisuje se da, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik.


Voditelj obrade podataka procjenjuje rizike za prava i slobode pojedinaca koji proizlaze iz obrade podataka te provodi mjere za ublažavanje tih rizika. Ovisno o relevantnosti, mjere mogu uključivati sljedeće:

  1. pseudonimizaciju i enkripciju osobnih podataka;


  1. sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;


  1. sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;


  1. proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.


  1. U skladu s člankom 32. GDPR-a, izvršitelj obrade podataka procjenjuje – neovisno o voditelju obrade podataka – rizike za prava i slobode pojedinaca koji proizlaze iz obrade podataka i provodi mjere za ublažavanje tih rizika. U tom smislu, voditelj obrade podataka pruža izvršitelju obrade podataka sve informacije potrebne za utvrđivanje i procjenu tih rizika.


  1. Nadalje, izvršitelj obrade podataka pomaže voditelju obrade podataka uskladiti se s obvezama voditelja obrade podataka iz članka 32. GDPR-a, među ostalim, pružajući voditelju obrade podataka informacije o tehničkim i organizacijskim mjerama koje je izvršitelj obrade podataka već proveo, u skladu s člankom 32. GDPR-a, zajedno sa svim drugim informacijama koje su potrebne voditelju obrade podataka da bi ispunio obveze voditelja obrade podataka iz članka 32. GDPR-a.


Ako naknadno – prema procjeni voditelja obrade podataka – ublažavanje utvrđenih rizika zahtijeva provedbu dodatnih mjera od izvršitelja obrade podataka, osim mjera koje je izvršitelj obrade podataka već proveo u skladu s člankom 32. GDPR-a, voditelj obrade podataka navodi u Dodatku C dodatne mjere koje je potrebno provesti.

  1. Angažiranje podizvršitelja


  1. Izvršitelj obrade podataka mora ispuniti zahtjeve navedene u članku 28. stavcima 2. i 4. GDPR-a kako bi mogao angažirati drugog izvršitelja (podizvršitelja).


  1. Izvršitelj obrade stoga ne smije angažirati drugog izvršitelja (podizvršitelja) radi izvršenja ovih klauzula bez prethodnog [1. OPCIJA] posebnog odobrenja u pisanom obliku / [2. OPCIJA] općeg pismenog odobrenja voditelja obrade podataka.


  1. [OPCIJA 1. POSEBNO PRETHODNO ODOBRENJE] U slučaju posebnog prethodnog odobrenja izvršitelj obrade podataka angažira podizvršitelje samo uz posebno prethodno odobrenje voditelja obrade podataka. Izvršitelj obrade podnosi zahtjev za posebno odobrenje najmanje [NAVESTI RAZDOBLJE] prije angažiranja dotičnog podizvršitelja. Popis podizvršitelja koje je voditelj obrade podataka već odobrio nalazi se u Dodatku B.


[2. OPCIJA, OPĆE PISMENO ODOBRENJE] Izvršitelj obrade podataka ima opće odobrenje voditelja obrade podataka za angažiranje podizvršitelja. Izvršitelj obrade pismenim putem obavješćuje voditelja obrade o svim namjeravanim promjenama koje se odnose na dodavanje ili zamjenu podizvršitelja najmanje [NAVEDITE RAZDOBLJE] unaprijed, dajući voditelju obrade mogućnost prigovora na te promjene prije angažiranja dotičnog ili dotičnih podizvršitelja. U Dodatku B mogu se predvidjeti duži rokovi za prethodnu najavu za određene usluge podizvršavanja. Popis podizvršitelja koje je voditelj obrade već odobrio nalazi se u Dodatku B.


  1. Ako izvršitelj obrade podataka angažira podizvršitelja za obavljanje određenih poslova obrade u ime voditelja obrade podataka, ugovorom ili drugim pravnim aktom u skladu s pravom Europske unije ili države članice određuju se obveze podizvršitelja u pogledu zaštite podataka koje su jednake obvezama navedenima u ovim klauzulama, a posebice se moraju pružiti dostatna jamstva za provedbu primjerenih tehničkih i organizacijskih mjera tako da obrada ispunjava zahtjeve iz ovih klauzula i GDPR-a.


Izvršitelj obrade podataka dužan je zahtijevati da se podizvršitelj pridržava barem obveza kojima podliježe izvršitelj obrade podataka u skladu s ovim klauzulama i GDPR-om.


  1. Primjerak ugovora s podizvršiteljem i naknadnih izmjena mora se – na zahtjev voditelja obrade podataka – dostaviti voditelju obrade podataka, čime se voditelju obrade podataka omogućuje da provjeri da podizvršitelj podliježe istim obvezama u pogledu zaštite podataka kao što je navedeno u ovim klauzulama. Klauzule o pitanjima koja se odnose na poslovanje, a koja ne utječu na normativni sadržaj zaštite osobnih podataka u ugovoru s podizvršiteljem, ne moraju se slati voditelju obrade podataka.


  1. Izvršitelj obrade podataka ugovara s podizvršiteljem klauzulu o pravima trećih, pri čemu – u slučaju stečaja izvršitelja obrade podataka – voditelj obrade podataka postaje treća strana u ugovoru s podizvršiteljem i ima pravo izvršiti ugovor u odnosu na podizvršitelja kojeg je angažirao izvršitelj obrade podataka, primjerice tako što voditelj obrade podataka ima pravo od podizvršitelja zahtijevati brisanje ili vraćanje osobnih podataka.


  1. Ako podizvršitelj ne ispuni svoje obveze u pogledu zaštite osobnih podataka, izvršitelj obrade podataka snosi potpunu odgovornost prema voditelju obrade podataka u pogledu ispunjenja obveza podizvršitelja. To ne utječe na prava ispitanika prema GDPR-u, posebice ona predviđena u člancima 79. i 82. GDPR-a, u odnosu na voditelja obrade i izvršitelja obrade, uključujući podizvršitelja.

  1. Prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama


  1. Svaki prijenos podataka trećim zemljama ili međunarodnim organizacijama koji provodi izvršitelj obrade podataka obavlja se samo na temelju dokumentiranih uputa voditelja obrade podataka i mora se izvesti u skladu s poglavljem V. GDPR-a.


  1. U slučaju da je prema zakonima Europske unije ili države članice kojima podliježe izvršitelj obrade podataka potreban prijenos podataka u treće zemlje ili međunarodne organizacije, a za koji izvršitelj obrade podataka nije dobio upute od voditelja obrade podataka, izvršitelj obrade podataka obavještava voditelja obrade podataka o toj zakonskoj obvezi prije obrade ako to nije zakonom zabranjeno zbog važnih razloga od javnog interesa.


  1. Bez dokumentiranih uputa od voditelja obrade podataka, izvršitelj obrade podataka ne može unutar okvira ovih klauzula:


    1. prenijeti osobne podatke voditelju obrade ili izvršitelju obrade u trećoj zemlji ili u međunarodnoj organizaciji


    1. prenijeti obradu osobnih podataka na podizvršitelja u trećoj zemlji


    1. povjeriti obradu osobnih podataka izvršitelju obrade u trećoj zemlji.


  1. Upute voditelja obrade o prijenosu osobnih podataka u treću zemlju, uključujući, ako je primjenjivo, sredstvo za prijenos iz poglavlja  V. GDPR-a na kojem se temelje, navode su u Dodatku C.6.


  1. Klauzule ne treba zamijeniti za standardne ugovorne klauzule u smislu članka 46. stavka 2. točaka (c) i (d) GDPR-a, te stranke ne smiju smatrati ove klauzule kao sredstvo prijenosa prema poglavlju V. GDPR-a.

  1. Pomoć voditelju obrade podataka


  1. Uzimajući u obzir prirodu obrade, izvršitelj obrade podataka pomaže voditelju obrade podataka poduzimanjem odgovarajućih tehničkih i organizacijskih mjera, ako je to moguće, u ispunjenju obveza voditelja obrade podataka da odgovori na zahtjeve za izvršenje prava ispitanika utvrđenih u poglavlju III. GDPR-a.


To podrazumijeva da izvršitelj obrade podataka mora, koliko je to moguće, pomoći voditelju obrade podataka u sljedećem:


    1. poštovanju prava na informiranost prilikom prikupljanja osobnih podataka od ispitanika;

    2. poštovanju prava na informiranost u slučaju kad osobni podatci nisu prikupljeni od ispitanika;

    3. poštovanju prava ispitanika na pristup;

    4. poštovanju prava na ispravak;

    5. poštovanju prava na brisanje („pravo na zaborav”);

    6. poštovanju prava na ograničenje obrade;

    7. poštovanju obveze obavješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade (članak 19.);

    8. poštovanju prava na prenosivost podataka;

    9. poštovanju prava na prigovor;

    10. poštovanju prava ispitanika da ne podliježe odlukama koje se temelje isključivo na automatiziranoj obradi, uključujući profiliranje.


  1. Uz obvezu izvršitelja obrade podataka da pruži pomoć voditelju obrade podataka u skladu s klauzulom 6.4., izvršitelj obrade podataka treba nadalje, uzimajući u obzir prirodu obrade i informacije dostupne izvršitelju obrade podataka, pomoći voditelju obrade podataka u sljedećem:


    1. ispunjenju obveze voditelja obrade podataka da bez nepotrebnog događanja i, ako je to moguće, najviše 72 sata nakon saznanja prijavi povredu osobnih podataka nadležnom nadzornom tijelu, [NAVESTI NADLEŽNO NADZORNO TIJELO], osim ako nije vjerojatno da će povreda osobnih podataka rezultirati opasnošću za prava i slobode fizičkih osoba;


    1. ispunjenju obveze voditelja obrade podataka da bez nepotrebnog odgađanja obavijesti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za prava i slobodne pojedinaca;


    1. ispunjenju obveze voditelja obrade podataka da procijeni učinak predviđenih postupaka obrade na zaštitu osobnih podataka (procjena učinka zaštite osobnih podataka);


    1. ispunjenju obveze voditelja obrade podataka da se prije obrade savjetuje s nadležnim nadzornim tijelom [NAVESTI NADLEŽNO NADZORNO TIJELO] ako se procjenom učinka zaštite podataka pokaže da bi obrada prouzročila visok rizik ne poduzme li voditelj obrade mjere za ublažavanje rizika.


  1. U Dodatku C stranke definiraju odgovarajuće tehničke i organizacijske mjere kojima izvršitelj obrade treba pomoći voditelju obrade, kao i područje i opseg potrebne pomoći. To se odnosi na obveze predviđene klauzulama 9.1. i 9.2.

  1. Izvješćivanje o povredi osobnih podataka


  1. U slučaju svake povrede osobnih podataka, izvršitelj obrade bez nepotrebnog odgađanja nakon saznanja o povredi osobnih podataka o tome izvješćuje voditelja obrade.


  1. Izvršitelj obrade, ako je moguće, obavješćuje voditelja obrade u roku od [BROJ SATI] nakon što izvršitelj obrade sazna za povredu osobnih podataka kako bi voditelj obrade mogao ispuniti obvezu prijavljivanja povrede osobnih podataka nadležnom nadzornom tijelu, usp. članak 33. GDPR-a.


  1. U skladu s klauzulom 9. stavkom 2. točkom (a), izvršitelj obrade podataka pomaže voditelju obrade podataka u slanju obavijesti o povredi osobnih podataka nadležnom nadzornom tijelu, što znači da je izvršitelj obrade podataka dužan pomoći u prikupljanju informacija navedenih u nastavku, koje, u skladu s člankom 33. stavkom 3. GDPR-a, treba navesti u obavijesti voditelja obrade podataka nadležnom nadzornom tijelu:


    1. priroda osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika, te kategorije i približan broj dotičnih evidencija osobnih podataka;


    1. vjerojatne posljedice povrede osobnih podataka;


    1. mjere koje je voditelj obrade poduzeo ili predložio da se poduzmu za rješavanje problema povrede osobnih podataka, uključujući, po potrebi, mjere za ublažavanje njezinih mogućih štetnih učinaka.


  1. U Dodatku D stranke utvrđuju sve elemente koje im mora dostaviti izvršitelj obrade kao pomoć voditelju obrade u prijavi povrede osobnih podataka nadležnom nadzornom tijelu.

  1. Brisanje i vraćanje podataka


  1. Nakon prestanka pružanja usluga obrade osobnih podataka, izvršitelj obrade podataka obvezan je [1. OPCIJA] izbrisati sve osobne podatke koje je obradio u ime voditelja obrade podataka i potvrditi brisanje voditelju obrade podataka / [2. OPCIJA] vratiti sve osobne podatke voditelju obrade podataka i izbrisati postojeće kopije ako zakoni Europske unije ili države članice ne zahtijevaju pohranu osobnih podataka.


  1. [EVENTUALNO] Sljedeći zakon EU-a ili države članice primjenjiv na izvršitelja obrade podataka zahtijeva pohranu osobnih podataka nakon prestanka pružanja usluge obrade podataka:


    1. […]


Izvršitelj obrade podataka obvezuje se obrađivati osobne podatke isključivo u svrhe i u trajanju predviđenom ovim zakonom i pod strogim primjenjivim uvjetima.

  1. Revizija i inspekcija


  1. Izvršitelj obrade podataka pruža voditelju obrade podataka sve informacije potrebne za ispunjenje obveza iz članka 28. i ovih klauzula te omogućuje i surađuje u revizijama, uključujući inspekcije koje provodi voditelj obrade podataka ili drugi revizor kojeg je ovlastio voditelj obrade podataka.


  1. Postupci primjenjivi na revizije, uključujući inspekcije, koje voditelj obrade provodi nad izvršiteljem obrade i podizvršiteljem obrade navedeni su u Dodatcima C.7. i C.8.


  1. Izvršitelj obrade podataka obvezan je pružiti nadzornim tijelima koja u skladu s primjenjivim zakonodavstvom imaju pristup objektima voditelja obrade i izvršitelja obrade, ili predstavnicima koji djeluju u ime tih nadzornih tijela, pristup fizičkim objektima izvršitelja obrade podataka nakon predočavanja odgovarajuće identifikacije.

  1. Ugovor stranaka o drugim uvjetima


  1. Stranke mogu ugovoriti druge klauzule koje se odnose na pružanje usluga obrade osobnih podataka, kojima se utvrđuje, primjerice, odgovornost, pod uvjetom da te klauzule nisu u izravnoj ili neizravnoj suprotnosti s ovim klauzulama i ne narušavaju temeljna ljudska prava ili slobode ispitanika i zaštitu koju im pruža GDPR.

  1. Stupanje na snagu i prestanak


  1. Klauzule stupaju na snagu na dan potpisa obiju stranaka.


  1. Obje stranke imaju pravo zahtijevati ponovno pregovaranje u vezi s ovim klauzulama ako je to potrebno zbog izmjena zakona ili neprikladnosti ovih klauzula.


  1. Klauzule se primjenjuju tijekom cijelog razdoblja pružanja usluga obrade osnovnih podataka. Za vrijeme pružanja usluga obrade osobnih podataka, ove klauzule nije moguće raskinuti, osim u slučaju da stranke ugovore druge klauzule kojima se uređuje pružanje usluga obrade osobnih podataka.


  1. Ako dođe do prestanka pružanja usluga obrade osobnih podataka te se osobni podatci izbrišu ili vrate voditelju obrade podataka u skladu s klauzulom 11.1. i Dodatkom C.4., ove klauzule može u pisanom obliku raskinuti bilo koja strana.


  1. Potpis


U ime voditelja obrade podataka


Ime i prezime

"[IME I PREZIME]"

Funkcija

[FUNKCIJA]

Datum

[DATUM]

Potpis

[POTPIS]




U ime izvršitelja obrade podataka


Ime i prezime

[IME]

Funkcija

[FUNKCIJA]

Datum

[DATUM]

Potpis

[POTPIS]



  1. Podatci za kontakt/kontaktne točke voditelja obrade podataka i izvršitelja obrade podataka


  1. Stranke mogu međusobno komunicirati putem sljedećih podataka za kontakt/kontaktnih točaka:


  1. Stranke su obvezne kontinuirano se međusobno obavještavati o izmjenama podataka za kontakt/kontaktnih točaka.


Ime i prezime

"[IME I PREZIME]"

Funkcija

[FUNKCIJA]

Telefon

[TELEFON]

E-pošta

[E-POŠTA]




Ime i prezime

"[IME I PREZIME]"

Funkcija

[FUNKCIJA]

Telefon

[TELEFON]

E-pošta

[E-POŠTA]


Dodatak A Informacije o obradi


[NAPOMENA: U SLUČAJU VIŠE POSLOVA OBRADE, OVE ELEMENTE TREBA ISPUNITI ZA SVAKI POSAO OBRADE.]


  1. Izvršitelj obrade obrađuje podatke u ime voditelja obrade u sljedeću svrhu:


[OPIŠITE SVRHU OBRADE].


  1. Obrada osobnih podataka koju provodi izvršitelj obrade u ime voditelja obrade uglavnom se odnosi na (priroda obrade):


[OPIŠITE PRIRODU OBRADE].


  1. Obrada uključuje sljedeće vrste osobnih podataka o ispitanicima:


[OPIŠITE VRSTU OSOBNIH PODATAKA KOJI SE OBRAĐUJU].


[NA PRIMJER]


Ime, adresa e-pošte, telefonski broj, adresa, nacionalni identifikacijski broj, podatci za plaćanje, članski broj, vrsta članstva, pohađanje fitness centra i prijava za određene vrste fitness vježbi.”


[NAPOMENA: TAJ BI OPIS TREBAO BITI ŠTO DETALJNIJI, A U SVAKOM SLUČAJU VRSTE OSOBNIH PODATAKA MORAJU BITI SPECIFICIRANE DETALJNIJE OD PUKOG „OSOBNI PODATCI KAKO SU DEFINIRANI U ČLANKU 4. STAVKU 1. GDPR-a” ILI SAMO NAVODEĆI KOJA KATEGORIJA (ČLANCI 6., 9. ILI 10. GDPR-a) OSOBNIH PODATAKA SE OBRAĐUJE.]


  1. Obrada uključuje sljedeće kategorije ispitanika:


[OPIŠITE KATEGORIJU ISPITANIKA].


  1. Obrada koju provodi izvršitelj obrade podataka u ime voditelja obrade smije se provoditi dok su ove klauzule na snazi. Trajanje obrade:


[OPIŠITE TRAJANJE OBRADE].

Dodatak B Ovlašteni podizvršitelji


  1. Odobreni podizvršitelji

Nakon stupanja na snagu ovih klauzula, voditelj obrade podataka odobrava angažiranje sljedećih podizvršitelja:


IME

MATIČNI BROJ SUBJEKTA

ADRESA

OPIS OBRADE


















Nakon stupanja na snagu ovih klauzula voditelj obrade podataka odobrava angažiranje navedenih podizvršitelja za obradu opisanu za tu stranku. Izvršitelj obrade podataka nema pravo – bez izričitog pismenog odobrenja voditelja obrade podataka – angažirati podizvršitelja za obradu koja se razlikuje od dogovorene obrade ni angažirati drugog podizvršitelja za provođenje opisane obrade.


  1. Prethodna obavijest radi odobrenja podizvršitelja


[EVENTUALNO] [AKO JE PRIMJENJIVO, NAVEDITE ROKOVE ZA DOSTAVU PRETHODNE OBAVIJESTI RADI ODOBRENJA PODIZVRŠITELJA]


Dodatak C Upute za upotrebu osobnih podataka


  1. Predmet / upute za obradu


Izvršitelj obrade provodi obradu podataka u ime voditelja obrade na sljedeći način:


[OPIŠITE OBRADU ZA KOJU JE IZVRŠITELJ OBRADE PODATAKA DOBIO UPUTE].


  1. Sigurnost obrade

Razina sigurnosti mora uzeti u obzir:


[UZIMAJUĆI U OBZIR PRIRODU, OPSEG, KONTEKST I SVRHE POSLOVA OBRADE, KAO I RIZIKE ZA PRAVA I SLOBODE POJEDINACA, OPIŠITE ELEMENTE KOJI SU KLJUČNI ZA RAZINU SIGURNOSTI]


[NA PRIMJER]


Obrada uključuje velike količine osobnih podataka koji podliježu odredbama članka 9. GDPR-a o posebnim kategorijama osobnih podataka, zbog čega treba omogućiti visoku razinu sigurnosti.”


Izvršitelj obrade podataka ima pravo i obvezan je donositi odluke o tehničkim i organizacijskim sigurnosnim mjerama koje se moraju poduzeti radi postizanja potrebne (i ugovorene) razine sigurnosti podataka.


Izvršitelj obrade podataka mora – u svakom slučaju i u najmanju ruku – provesti sljedeće mjere koje su dogovorene s voditeljem obrade podataka:


[OPIŠITE ZAHTJEVE U POGLEDU PSEUDONIMIZACIJE I ŠIFRIRANJA OSOBNIH PODATAKA]


[OPIŠITE ZAHTJEVE U POGLEDU OSIGURAVANJA TRAJNE POVJERLJIVOSTI, CJELOVITOSTI, DOSTUPNOSTI I OTPORNOSTI SUSTAVA I USLUGA OBRADE]


[OPIŠITE ZAHTJEVE U POGLEDU MOGUĆNOSTI PRAVODOBNE PONOVNE USPOSTAVE DOSTUPNOSTI OSOBNIH PODATAKA I PRISTUPA NJIMA U SLUČAJU FIZIČKOG ILI TEHNIČKOG INCIDENTA]


[OPIŠITE ZAHTJEVE U POGLEDU PROVEDBE REDOVNIH POSTUPAKA TESTIRANJA, OCJENJIVANJA I PROCJENJIVANJA UČINKOVITOSTI TEHNIČKIH I ORGANIZACIJSKIH MJERA ZA OSIGURAVANJE SIGURNOSTI OBRADE]


[OPIŠITE ZAHTJEVE U POGLEDU PRISTUPA PODATCIMA NA MREŽI]


[OPIŠITE ZAHTJEVE U POGLEDU ZAŠTITE PODATAKA TIJEKOM PRIJENOSA]


[OPIŠITE ZAHTJEVE U POGLEDU ZAŠTITE PODATAKA TIJEKOM POHRANE]



[OPIŠITE ZAHTJEVE U POGLEDU FIZIČKE SIGURNOSTI LOKACIJA NA KOJIMA SE OBRAĐUJU OSOBNI PODATCI]


[OPIŠITE ZAHTJEVE U POGLEDU RADA OD KUĆE / RADA NA DALJINU]


[OPIŠITE ZAHTJEVE U POGLEDU PRIJAVE NA MREŽU]


  1. Pomoć voditelju obrade podataka


Izvršitelj obrade podataka mora koliko je to moguće – unutar opsega i razmjera pomoći navedene u nastavku – pružiti pomoć voditelju obrade podataka u skladu s klauzulom 9.1. i 9.2. provođenjem sljedećih tehničkih i organizacijskih mjera:


[OPIŠITE OPSEG I RAZMJER POMOĆI KOJU MORA PRUŽITI IZVRŠITELJ OBRADE PODATAKA]


[OPIŠITE POSEBNE TEHNIČKE I ORGANIZACIJSKE MJERE KOJE MORA PODUZETI IZVRŠITELJ OBRADE PODATAKA U SVRHU PRUŽANJA POMOĆI VODITELJU OBRADE PODATAKA]


  1. Razdoblje pohrane / postupci brisanja


[NAVEDITE RAZDOBLJE POHRANE / POSTUPKE BRISANJA ZA IZVRŠITELJA OBRADE PODATAKA, AKO JE PRIMJENJIVO]


[NA PRIMJER]


Osobni se podatci pohranjuju tijekom razdoblja od [NAVEDITE RAZDOBLJE ILI INCIDENT], nakon čega izvršitelj obrade automatski briše podatke.


Nakon prestanka pružanja usluga obrade osobnih podataka, izvršitelj obrade podataka briše ili vraća osobne podatke u skladu s klauzulom 11.1, osim u slučaju ako je voditelj obrade podataka – nakon potpisivanja ugovora – izmijenio prvobitni odabir voditelja obrade podataka. Takve se izmjene moraju dokumentirati i čuvati u pisanom obliku, uključujući elektronički, zajedno s ovim klauzulama.”


  1. Mjesto obrade


Obrada osobnih podataka u skladu s ovim klauzulama ne može se provoditi na drugim lokacijama osim sljedećih bez prethodnog pisanog odobrenja voditelja obrade podataka:


[NAVEDITE LOKACIJU OBRADE] [NAVEDITE ADRESU IZVRŠITELJA ILI PODIZVRŠITELJA OBRADE PODATAKA]


  1. Uputa za prijenos osobnih podataka u treće zemlje


[OPIŠITE UPUTU ZA PRIJENOS OSOBNIH PODATAKA U TREĆU ZEMLJU ILI MEĐUNARODNU ORGANIZACIJU]


[NAVEDITE PRAVNU OSNOVU ZA PRIJENOS U SKLADU S POGLAVLJEM V. GDPR-a]

Ako voditelj obrade podataka, u ovim klauzulama ili naknadno, ne pruži dokumentirane upute za prijenos osobnih podataka u treću zemlju, izvršitelj obrade podataka nema pravo, u okviru ovih klauzula, izvršiti takav prijenos.


  1. Postupci za revizije, uključujući inspekcije, koje voditelj obrade podataka obavlja nad obradom osobnih podataka koju provodi izvršitelj obrade podataka


[OPIŠITE POSTUPKE REVIZIJE, UKLJUČUJUĆI INSPEKCIJE, KOJE VODITELJ OBRADE PODATAKA OBAVLJA NAD OBRADOM OSOBNIH PODATAKA KOJU PROVODI IZVRŠITELJ OBRADE PODATAKA]


Primjerice:


Izvršitelj obrade podataka dobiva [NAVEDITE RAZDOBLJE] na trošak [IZVRŠITELJA OBRADE/VODITELJA OBRADE] [IZVJEŠĆE REVIZORA / INSPEKCIJSKO IZVJEŠĆE] od neovisne treće strane o usklađenosti izvršitelja obrade podataka s GDPR-om, mjerodavnim propisima Europske unije ili države članice o zaštiti podataka i ovim klauzulama.


Stranke su se sporazumjele da se sljedeće vrste [ZVJEŠĆE REVIZORA / INSPEKCIJSKO IZVJEŠĆE] mogu upotrebljavati u skladu s ovim klauzulama:


[UMETNITE IZVJEŠĆE ODOBRENOG REVIZORA / INSPEKCIJSKO IZVJEŠĆE]


[IZVJEŠĆE REVIZORA / INSPEKCIJSKO IZVJEŠĆE] mora se bez nepotrebnog odgađanja dostaviti voditelju obrade podataka kao informacija. Voditelj obrade podataka može osporiti opseg i/ili metodologiju izrade izvješća te u takvim slučajevima može zatražiti novu reviziju/inspekciju u revidiranom opsegu i/ili prema drugačijoj metodologiji.


Na temelju rezultata revizije/inspekcije, voditelj obrade podataka može zatražiti poduzimanje dodatnih mjera kako bi se osigurala usklađenost s GDPR-om, mjerodavnim propisima Europske unije ili države članice o zaštiti podataka i ovim klauzulama.


Voditelj obrade podataka ili predstavnik voditelja obrade podataka mora također moći pregledati, uključujući fizički, mjesta na kojima izvršitelj obrade podataka obavlja obradu osobnih podataka, uključujući fizičke objekte i sustave koji se koriste i koji su povezani s obradom. Takve se inspekcije provode kad to voditelj obrade podataka smatra potrebnim.”


[ILI]


Voditelj obrade podataka ili predstavnik voditelja obrade podataka provodi [NAVEDITE RAZDOBLJE] fizičku inspekciju na mjestima na kojima izvršitelj obrade podataka obavlja obradu osobnih podataka, uključujući fizičke objekte i sustave koji se koriste i koji su povezani s obradom, kako bi se osigurala usklađenost izvršitelja obrade podataka s GDPR-om, mjerodavnim propisima Europske unije ili države članice o zaštiti podataka i ovim klauzulama.


Osim planirane inspekcije, voditelj obrade podataka može provesti inspekciju nad izvršiteljem obrade podataka ako to voditelj obrade podataka smatra potrebnim.”


[I, AKO JE PRIMJENJIVO]


Troškove voditelja obrade podataka, ako je primjenjivo, koji se odnose na fizičku inspekciju snosi voditelj obrade podataka. Međutim, izvršitelj obrade podataka obvezan je osigurati resurse (uglavnom vrijeme) potrebne za obavljanje inspekcije.”


  1. [AKO JE PRIMJENJIVO] Postupci revizije, uključujući inspekcije, obrade osobnih podataka koju provode podizvršitelji


[AKO JE PRIMJENJIVO, OPIŠITE POSTUPKE REVIZIJE, UKLJUČUJUĆI INSPEKCIJE, KOJU OBAVLJA VODITELJ OBRADE PODATAKA NAD OBRADOM OSOBNIH PODATAKA KOJU PROVODI PODIZVRŠITELJ]


[NA PRIMJER]


Izvršitelj obrade podataka dobiva [NAVEDITE RAZDOBLJE] na trošak [IZVRŠITELJA OBRADE / VODITELJA OBRADE] [IZVJEŠĆE REVIZORA / INSPEKCIJSKO IZVJEŠĆE] od neovisne treće strane o usklađenosti podizvršitelja obrade podataka s GDPR-om, mjerodavnim propisima Europske unije ili države članice o zaštiti podataka i ovim klauzulama.


Stranke su se sporazumjele da se sljedeće vrste [ZVJEŠĆE REVIZORA/INSPEKCIJSKO IZVJEŠĆE] mogu upotrebljavati u skladu s ovim klauzulama:


[UMETNITE IZVJEŠĆE ODOBRENOG REVIZORA / INSPEKCIJSKO IZVJEŠĆE]


[IZVJEŠĆE REVIZORA / INSPEKCIJSKO IZVJEŠĆE] mora se bez nepotrebnog odgađanja dostaviti voditelju obrade podataka kao informacija. Voditelj obrade podataka može osporiti opseg i/ili metodologiju izrade izvješća te u takvim slučajevima može zatražiti novu reviziju/inspekciju u revidiranom opsegu i/ili prema drugačijoj metodologiji.


Na temelju rezultata revizije/inspekcije, voditelj obrade podataka može zatražiti poduzimanje dodatnih mjera kako bi se osigurala usklađenost s GDPR-om, mjerodavnim propisima Europske unije ili države članice o zaštiti podataka i ovim klauzulama.


Izvršitelj obrade podataka ili predstavnik izvršitelja obrade podataka mora također moći pregledati, uključujući fizički, mjesta na kojima podizvršitelj obrade podataka obavlja obradu osobnih podataka, uključujući fizičke objekte i sustave koji se koriste i koji su povezani s obradom. Takve se inspekcije provode kad to izvršitelj obrade podataka (ili voditelj obrade podataka) smatra potrebnim.


Dokumentacija o tim inspekcijama mora se bez odgađanja dostaviti voditelju obrade podataka kao informacija. Voditelj obrade podataka može osporiti opseg i/ili metodologiju izrade izvješća te u takvim slučajevima može zatražiti novu inspekciju u revidiranom opsegu i/ili prema drugačijoj metodologiji.”


[ILI]


Izvršitelj obrade podataka ili predstavnik izvršitelja obrade podataka provodi [NAVEDITE RAZDOBLJE] fizičku inspekciju na mjestima na kojima podizvršitelj obrade podataka obavlja obradu osobnih podataka, uključujući fizičke objekte i sustave koji se koriste i koji su povezani s obradom, kako bi se osigurala usklađenost podizvršitelja obrade podataka s GDPR-om, mjerodavnim odredbama Europske unije ili države članice o zaštiti podataka i ovim klauzulama.


Osim planirane inspekcije, izvršitelj obrade podataka može provesti inspekciju kod podizvršitelja obrade podataka ako to izvršitelj (ili voditelj) obrade podataka smatra potrebnim.


Dokumentacija o tim inspekcijama mora se bez nepotrebnog odgađanja dostaviti voditelju obrade podataka kao informacija. Voditelj obrade podataka može osporiti opseg i/ili metodologiju izrade izvješća te u takvim slučajevima može zatražiti novu inspekciju u revidiranom opsegu i/ili prema drugačijoj metodologiji.


Na temelju rezultata inspekcije, voditelj obrade podataka može zatražiti poduzimanje dodatnih mjera kako bi se osigurala usklađenost s GDPR-om, mjerodavnim propisima Europske unije ili države članice o zaštiti podataka i ovim klauzulama.”


[I, AKO JE PRIMJENJIVO]


Voditelj obrade podataka može – ako je to potrebno – inicirati i sudjelovati u fizičkoj inspekciji kod podizvršitelja. To se može primijeniti u slučaju da voditelj obrade podataka procijeni kako nadzor izvršitelja obrade podataka nad podizvršiteljem nije pružio voditelju obrade podataka dovoljnu dokumentaciju za utvrđivanje činjenice da podizvršitelj provodi obradu u skladu s ovim klauzulama.


Sudjelovanje voditelja obrade podataka u inspekciji podizvršitelja ne mijenja činjenicu da izvršitelj obrade podataka i dalje snosi punu odgovornost za postupanje podizvršitelja u skladu s GDPR-om, primjenjivim propisima Europske unije ili države članice o zaštiti podataka i ovim klauzulama.”


[I, AKO JE PRIMJENJIVO]


Troškove izvršitelja obrade podataka i podizvršitelja obrade podataka koji se odnose na fizički nadzor / inspekciju u objektima podizvršitelja ne snosi voditelj obrade podataka – bez obzira na to je li voditelj podataka inicirao tu inspekciju i sudjelovao u njoj.”


Dodatak D Uvjeti ugovora stranaka o drugim predmetima











1Shape1 Upućivanja na „države članice” u ovim klauzulama tumače se kao upućivanja na „države članice EGP-a”.

Standardne ugovorne klauzule, prosinac 2019.

Document Metadata

Filed: November 28th, 2019