Ugovor o obradi podataka
U svrhu članka 28. stavka 3. Uredbe 2016/679 Opća uredba o zaštiti podataka zajedno sa Uvjetima korištenja u daljnjem tekstu „Ugovor“ između tvrtke Saguaro info d.o.o., iz Zagreba, Gorice 114/B1 OIB: 56941305823 u daljnjem tekstu „Izvršitelj obrade“
i druge ugovorne strane u svojstvu Voditelja obrade podataka u daljnjem tekstu „Voditelj obrade“
SPORAZUMJELI SU SE o sljedećim ugovornim klauzulama (u daljnjem tekstu: klauzule) radi ispunjavanja zahtjeva Opće uredbe o zaštiti podataka (GDPR) i osiguranja zaštite prava ispitanika koji su sadržani u Aplikativnim rješenjima IZZYSoftver popis koji se nalazi na XXXX Ugovoru na web stranicama Izvršitelja obrade.
Sastavni dio ovog ugovora su Dodatak 1 - Kategorije obrade podataka i Dodatak 2 - Primatelji podataka.
Članak 1. Definicije
Za potrebe ovog Ugovora, neki relevantni pojmovi su definirani na način kako ih definira Uredba:
• „ispitanik“ - pojedinac xxxx je identitet utvrđen ili se može utvrditi
• „osobni podaci” znači svi podaci koji se odnose na ispitanika koji se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
• „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje,
ograničavanje, brisanje ili uništavanje;
• „voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;
• „izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
• „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome xx xx on xxxxx strana;
• „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje
nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu
osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
• „povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili
nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim
podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
Članak 2. Uređivanje osnovnih odnosa izvršitelja i voditelja obrade
Izvršitelj obrade obrađuje osobne podatke koje mu je prenio voditelj obrade.
Prema nalogu i u ime voditelja obrade, Izvršitelj obrade jamči voditelju obrade provedbu
odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima Uredbe i da se njome osigurava zaštita prava ispitanika.
Izvršitelj obrade neće angažirati drugog izvršitelja obrade ili primatelja podataka bez prethodnog pisanog odobrenja voditelja obrade u obliku novog Dodatka 2 ovog Ugovora kojim se voditelj upoznaje s nazivom i sjedištem novog izvršitelja ili primatelja i postupcima i kategorijama obrade koje taj novi izvršitelj/primatelj izvršava.
Članak 3. Obrada osobnih podataka
Izvršitelj obrade će izvršavati samo one obrade koje su dogovorene s Xxxxxxxxxx obrade i koje su nužne za ispravno i sveobuhvatno pružanje dogovorenih usluga. Obrade podataka koje su dogovorene s Voditeljem obrade detaljno se opisuju prilikom potpisivanja Ugovora o održavanju Aplikativnih rješenja koje koristi Voditelj obrade, gdje se definiraju kategorije obrade podataka odnosno priroda i svrha obrade, predmet i trajanje obrade podataka, kategorije ispitanika, vrste osobnih podataka xx xxxxx obrade i čuvanja podataka.
Članak 4. Obveze izvršitelja obrade
Izvršitelj obrade obvezuje se da će provoditi odgovarajuće tehničke i organizacijske mjere kako bi obrada podataka koje mu dostavlja Voditelj obrade bila u skladu sa zahtjevima Uredbe i kako bi se osigurala zaštita prava ispitanika. Izvršitelj obrade se obvezuje da će:
a) obrađivati osobne podatke samo prema zabilježenim uputama voditelja obrade,
b) obavijestiti voditelja obrade o svim povredama osobnih podataka koje su eventualno nastale kod izvršitelja;
c) osigurati da su se osobe ovlaštene za obradu osobnih podataka obvezale na
poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;
d) poduzimati sve razumne sigurnosne mjere zaštite osobnih podataka uključujući: pseudonimizaciju i enkripciju, osiguranje povjerljivosti, cjelovitosti i dostupnosti, otpornost sustava i osiguranje u slučaju fizičkog i tehničkog incidenta, redovito testiranje učinkovitosti tehničkih i organizacijskih mjera,
e) poštovati obvezu o obavješćivanju voditelja obrade pri angažiranju drugog
izvršitelja ili primatelja podataka,
f) pomagati voditelju obrade da u skladu s propisima ispuni obveze u pogledu odgovaranja na zahtjeve ostvarivanja prava ispitanika,
g) pomagati voditelju obrade u osiguravanju sigurnosti podataka, postupaka u vezi
povrede osobnih podataka i procjene učinka na zaštitu osobnih podataka,
h) po nalogu voditelja, izbrisati ili vratiti voditelju obrade sve podatke nakon dovršetka pružanja usluge,
i) stavljati voditelju obrade na raspolaganje sve informacije koje su bitne za
dokazivanje voditeljeve usklađenosti s Uredbom,
j) obavijestiti voditelja obrade ako prema njegovom mišljenju neka uputa voditelja obrade
krši Uredbu,
k) ako je primjenjivo, definirati i obrazložiti prijenose osobnih podataka trećoj
zemlji ili međunarodnoj organizaciji.
Članak 5. Obveze voditelja obrade
Voditelj obrade obvezuje se da će sve osobne podatke koje proslijedi Izvršitelju obrade
obrađivati u skladu sa zahtjevima Uredbe i osigurati zaštitu svih prava ispitanika. Voditelj obrade se obvezuje da će sve podatke koje proslijedi izvršitelju:
a) obrađivati osobne podatke u skladu s načelima navedenim u članku 5. Uredbe;
b) poštovati zakonitost obrade u skladu s člankom 6. Uredbe;
Upravljanje zahtjevima ispitanika
Voditelj obrade obvezuje se da će samostalno rješavati sve zahtjeve ispitanika proizašle iz ispitanikovih prava proizašlih iz Poglavlja 3. Uredbe. U smislu samostalnog rješavanja zahtjeva ispitanika, voditelj obrade se obvezuje da će djelovati kao jedina kontaktna točka za sve zahtjeve svojih ispitanika. Izvršitelj će udovoljiti zahtjevima ispitanika jedino prema nalogu voditelja obrade.
Povreda osobnih podataka
U slučaju bilo koje povrede osobnih podataka koja se dogodi na strani Izvršitelja obrade, isti će o povredi izvijestiti Voditelja obrade odmah ili ne duže od 48 sati od primjećenog incidenta.
Izvršitelj obrade će izvijestiti Voditelja obrade o svakoj povredi podataka bez obzira na razinu rizika za prava i slobode ispitanika koju bi ta povreda mogla prouzročiti i bez nepotrebnog odgađanja.
Na temelju obavijesti o povredi podataka koju Voditelj zaprimi od Izvršitelja, Voditelj obrade samostalno odlučuje o razini rizika i eventualnom izvještavanju nadležnog nadzornog tijela i ispitanika o nastaloj povredi osobnih podataka sukladno člancima 33. i 34. Uredbe.
Članak 6. Trajanje i raskid Ugovora
Ovaj Ugovor traje od xxxx potpisa do trenutka brisanja ili vraćanja svih pripadajućih osobnih podataka Voditelju obrade. Prijevremeni raskid ovog Ugovora nije moguć jer uvjetuje xxx raskid poslovnog odnosa između Xxxxxxxxx i Izvršitelja obrade. Raskidom poslovnog odnosa, Xxxxxx će se smatrati nevažećim tek u trenutku kad se Izvršitelj obrade obriše ili vrati sve pripadajuće osobne podatke Voditelju obrade.
O uklanjanju i brisnaju podataka Izvršitelj obrade ćepisanim putem izvjetiti Voditelja obrade
u skladu sa predmetnom regulativom.
Članak 7. Završne odredbe
Na sve što nije regulirano ovim Ugovorom, postupa se u skladu s mjerama i odredbama Uredbe, mišljenjima Agencije za zaštitu osobnih podataka te mišljenjima i smjernicama radnih skupina Europske komisije i Europskog odbora za zaštitu podataka. Mišljenja i smjernice dobivene iz neslužbenih izvora se ne primjenjuju bez potvrde istoga xx xxxxxx navedenih službenih izvora.
DODATAK 1 - KATEGORIJE OBRADE PODATAKA
Ovim se dodatkom glavnom Ugovoru koji su sklopili Izvršitelj obrade i Voditelj obrade detaljno definiraju kategorije obrade podataka koje izvršitelj obrađuje u ime voditelja obrade.
Priroda i svrha obrade: Softver IZZY
Predmet i trajanje obrade podataka: Vođenje potpune i ispravne evidencije u sustavu
aplikativnih rješenja kojih je autor Izvršitelj obrade i koji su sastavni dio Xxxxxxx o
održavanju sa Voditeljem obrade.
Kategorija ispitanika: novi korisnici, postojeći korisnici
Vrste osobnih podataka: Osobni podaci prema kriteriju koji su zadani od Voditelja obrade
Čuvanje podataka: Čuvanje podataka obavlja se na poslužitelju u elektroničkom kriptiranom
obliku i u cloud storage sustavu prema Ugovoru o pohrani podataka
Način obrade podataka: Na računalu (podaci se spremaju na lokalno računalo i/ili server); Na računalu (podaci se spremaju u cloud sustav )
DODATAK 2 - PRIMATELJI PODATAKA
Ovim dodatkom glavnom Ugovoru koji su sklopili Izvršitelj obrade i Voditelj obrade Izvršitelj obrade upoznaje Voditelja obrade s primateljima kojima Izvršitelj obrade ni na xxxx xxxxx ne proslijeđuje podatke ili na bilo xxxx xxxxx daje uvid u podatke koji se nalaze kod Izvršitelja obrade osim ukoliko se podaci predaju trećoj strani xxxx xx određena Zakonskom ragulativom u RH te je određena od nadležnih tjela javne uprave ili sudionika u postupku predaje podataka te se mogu nalaziti kod tih Primatelja podataka.