IPT d.o.o., sa sjedištem u Zagrebu, Miramarska 24, OIB: 74377537525, kojeg zastupa član Uprave, gosp. Hrvoje Rajić (dalje u tekstu: IPT)
IPT d.o.o., sa sjedištem u Zagrebu, Miramarska 24, OIB: 74377537525, kojeg zastupa član Uprave, xxxx. Xxxxxx Xxxxx (dalje u tekstu: IPT)
i
______________________________, sa sjedištem u _______, ___________, OIB: __________, kojeg zastupa __________, _______ (dalje u tekstu: PARTNER)
(drugdje u tekstu: Ugovorne strane) sklopili su ovaj
DODATAK O OBRADI OSOBNIH PODATAKA
Uvod
Polazeći od
činjenice da su dana __.__.____ IPT i PARTNER sklopili sljedeći ugovor: ___________________________________ (drugdje u tekstu: Xxxxxx),
potrebe da tijekom pružanja usluga kao što je definirano u Ugovoru IPT obradi određene osobne podatke za račun i u korist PARTNERA, koji može djelovati kao voditelj obrade, ali također i kao izvršitelj obrade podataka ili pod-izvršitelj obrade podataka, a koji su definirani u sklopu primjenjive zakonske regulative vezane za zaštitu osobnih podataka, a posebice su definirani Općom uredbom o zaštiti podataka Europskog parlamenta i vijeća 2016/679 od 27.04.2016 godine (drugdje u tekstu: GDPR)
ugovorne strane ugovaraju ovaj Dodatak o obradi osobnih podataka (drugdje u tekstu: Dodatak), sukladno članku 28 GDPR-a, kako slijedi:
Definicije
Članak
U svrhu ovog Dodatka primjenjuju se sljedeće definicije:
GDPR – podrazumijeva Uredbu 2016/679 Europskog parlamenta i Vijeća o zaštiti fizičkih osoba u pogledu obrade osobnih podataka i slobodnog kretanja tih podataka, kojom se ukida Direktiva 95/46 / EZ (Opća zaštita podataka Uredba).
Primjenjivi zakon o zaštiti podataka - označava sve primjenjive zakone, propise, zakonske i regulatorne zahtjeve i kodekse, prakse primjenjive na obradu osobnih podataka, uključujući sve odredbe GDPR-a, kao i sve druge relevantne zakone, propise ili instrumente, s vremena na vrijeme izmijenjene ili nadomještene i zajedno s bilo kojim propisima ili instrumentima koji su sklopljeni na temelju toga, koji se primjenjuju na izvršitelja obrade.
Osobni podaci - označavaju sve informacije koje se odnose na identificiranu ili prepoznatljivu fizičku osobu (u daljnjem tekstu Ispitanik); osoba koja se može identificirati je osoba koja se može izravno ili neizravno identificirati, posebice na temelju identifikatora kao što je ime, identifikacijski broj, podaci o lokaciji, on-line identifikator ili jedan ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet takve fizičke osobe.
Voditelj obrade - fizička ili pravna osoba, tijelo javne vlasti, organizacija ili druga agencija koja donosi odluke pojedinačno ili zajedno s drugim strankama u pogledu svrhe i načina obrade osobnih podataka.
Izvršitelj obrade - fizička ili pravna osoba, tijelo javne vlasti, organizacija ili druga agencija koja obrađuje osobne podatke u ime voditelja obrade.
Pod-izvršitelj obrade - ugovorni partner Xxxxxxxxxxx obrade koji je angažiran za obavljanje određenih obrađivačkih aktivnosti u ime voditelja obrade.
Treća strana - označava fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili tijelo javne vlasti, osim ispitanika, voditelja obrade, izvršitelja obrade, pod-izvršitelja obrade i osoba koje su pod izravnim nadzorom voditelja obrade, izvršitelja obrade ili pod-izvršitelja obrade, ovlaštenu za obradu osobnih podataka.
Izrazi upotrijebljeni u ovom Dodatku kao što su "obrada" (i "proces"), "prijenos podataka", "kategorije podataka", "kršenje osobnih podataka" i "tehničke i organizacijske mjere" imaju značenje koje im se pripisuje u primjenjivim zakonima o zaštiti podataka.
Pojam "Usluge" ima značenje koje mu pripada u Ugovoru.
Predmet Dodatka
Članak
Ovaj Dodatak uređuje obradu osobnih podataka od IPT-a kao izvršitelja obrade ili pod-izvršitelja obrade u korist i za račun PARTNERA kao voditelja obrade, izvršitelja ili pod-izvršitelja obrade, u skladu s uputama voditelja obrade, u vezi s pružanjem Usluga definiranih u Ugovoru. U slučaju da je PARTNER voditelj obrade, IPT preuzima ulogu izvršitelja obrade, a u slučaju da je PARTNER izvršitelj obrade, IPT preuzima ulogu pod-izvršitelja obrade.
Dodatak služi za dopunu Xxxxxxx i njegov je sastavni dio. Ako postoji sukob između ovog Dodatka i Ugovora, prevladat će odredbe ovog Dodatka.
Ovaj Dodatak primjenjiv je u isključivo u slučaju u kojem IPT obrađuje osobne podatke u korist i za račun PARTNERA, kao voditelja, izvršitelja ili pod-izvršitelja obrade, u vezi s pružanjem Usluga definiranih u Ugovoru, te se za druge primjene ne može koristiti.
Detalji obrade osobnih podataka
Članak
Ako i u mjeri u kojoj će IPT obrađivati osobne podatke u ime PARTNERA tijekom obavljanja Usluga, informacije o prirodi, svrsi i trajanju obrade, kategorije osobnih podataka, kategorije ispitanika i drugi podaci o obradi navedeni su u Prilogu 1, ako to već nije opisano u Ugovoru ili u zasebnom tekstu, uključujući e-mail komunikaciju između Ugovornih strana.
Obveze PARTNERA
Članak
U pogledu odnosa u ovom Dodatku i Ugovoru PARTNER je isključivo odgovoran za ocjenu mogu li se osobni podaci pravilno obrađivati i za zaštitu prava ispitanika. PARTNER će u svom području odgovornosti osigurati ispunjavanje potrebnih zakonskih uvjeta, tako da IPT može pružiti ugovorene Usluge na način koji ne krši zakonske propise.
IPT obrađuje osobne podatke samo prema dokumentiranim uputama PARTNERA, a PARTNER mora osigurati da njegove upute budu zakonite i da obrada osobnih podataka obavljena od strane IPT-a neće uzrokovati da IPT krši bilo koji primjenjivi zakon, propis ili pravilo, uključujući primjenjive zakone o zaštiti podataka.
Obveze IPT-a
Članak
Dopuštene svrhe
IPT obrađuje osobne podatke isključivo u kontekstu Ugovora i samo u opsegu i na prikladan način koji je potreban za pružanje svojih Usluga PARTNERU u okviru Ugovora (dopuštene svrhe).
Upute
IPT će obrađivati osobne podatke u skladu s ovim Dodatkom i primjenjivim zakonima o zaštiti podataka i samo prema dokumentiranim uputama PARTNERA, uključujući prijenos osobnih podataka u zemlju koja nije članica EU ili međunarodna organizacija, osim ako to nalaže pravo EU ili pravo Republike Hrvatske.
U slučaju da pravo EU ili pravo Republike Hrvatske sprečava IPT da udovolji uputama ili zahtijeva da IPT obradi i/ili otkriva osobne podatke trećoj strani, IPT će pisanim putem obavijestiti PARTNERA o takvom zakonskom zahtjevu prije no što počne obavljati zakonom propisane relevantne postupke obrade i/ili otkrivanje osobnih podataka trećoj strani, osim ako je IPT-u zabranjeno navedenim pravom da obavijesti PARTNERA o opisanim zakonskim obvezama IPT-a.
IPT će obavijestiti PARTNERA u pisanom obliku ako, prema mišljenju IPT-a, uputa prekrši bilo koju primjenjivu zakonsku odredbu. IPT ima pravo obustaviti izvršavanje takve upute dok PARTNER ne promijeni uputu ili ne odustane od iste.
Povjerljivost
Svi osobni podaci koje IPT dobije od PARTNERA tijekom pružanja svojih Usluga sukladno Ugovoru su povjerljivi, a IPT neće bilo kojoj trećoj strani dostaviti osobne podatke ili omogućiti pristup istima bez prethodnog pisanog odobrenja PARTNERA.
IPT će osigurati pristup osobnim podacima samo onim svojim zaposlenicima i drugim osobama koje djeluju u ime IPT-a, koje imaju potrebu poznavati i koje su u skladu s obvezama povjerljivosti u vezi s osobnim podacima.
Tehničke i organizacijske mjere
IPT jamči da održava i nastavlja s održavanjem odgovarajućih i dostatnih tehničkih i organizacijskih mjera za zaštitu osobnih podataka od slučajnog gubitka, uništavanja, oštećenja, izmjene, neovlaštenog otkrivanja ili pristupa, osobito u slučajevima kada obrada uključuje prijenos podataka kroz mrežu i protiv svih ostalih nezakonitih oblika obrade.
Uzimajući u obzir stanje tehnike, prirodu, opseg, kontekst i svrhe obrade, kao i rizik od različitih vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba, IPT jamči da su potrebne odgovarajuće tehničke i organizacijske mjere provedene kako bi se osigurala razina sigurnosti koja odgovara riziku, uključujući, između ostalog, primjereno:
pseudonimizaciju i šifriranje osobnih podataka;
sposobnost da se osigura kontinuirana povjerljivost, integritet, dostupnost i otpornost sustava i usluga;
mogućnost pravodobnog vraćanja dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta.
IPT obvezuje da je implementirao postupke kontrole i utvrđivanja neovlaštenog ili nezakonitog pristupa ili korištenja osobnih podataka. To uključuje redovito testiranje, procjenu i ocjenu učinkovitosti tehničkih i organizacijskih mjera za trajno osiguranje sigurnosti obrade. IPT će kontinuirano poboljšavati i poboljšavati takve mjere zaštite podataka.
Na zahtjev PARTNERA, IPT će PARTNERU dostaviti potpune pojedinosti o tehničkim i organizacijskim mjerama koje koristi.
Odnos IPT-a prema zahtjevima ispitanika i trećih strana
U slučaju da IPT zaprimi podnesak, zahtjev, istražni zahtjev ili bilo kakvu drugu vrstu komunikacije bilo od ispitanika, nadzornog tijela ili treće strane, a koji zahtjev se odnosi na obradu osobnih podataka ili sukladnost bilo koje stranke sa zakonskim propisima o zaštiti podataka ili ovim Dodatkom, IPT će odmah i u svakom slučaju najkasnije u roku od pet (5) radnih dana obavijestiti PARTNERA o pružanju pojedinosti o istom, u mjeri u kojoj je to zakonito dopušteno.
Osim ako nije obavezan to učiniti obveznim zakonima, IPT neće odgovoriti na takav zahtjev, pritužbu, upit ili komunikaciju bez prethodnog pisanog pristanka i upute PARTNERA, osim potvrditi da se takav zahtjev odnosi na PARTNERA i pružiti PARTNERU punu suradnju, informacije i pomoć u vezi s njom, uključujući, ali ne ograničavajući se na ispravak, brisanje i blokiranje osobnih podataka.
Pomoć pri usklađivanju PARTNERA
Uzimajući u obzir prirodu obrade, IPT pomaže PARTNERU odgovarajućim tehničkim i organizacijskim mjerama, u mjeri u kojoj je to moguće, za ispunjenje obveze PARTNERA da odgovori na zahtjeve za ostvarivanje prava ispitanika. Ako se ispitanik izravno obrati IPT-u vezano za njegova prava, uključujući, ali se ne ograničavajući na prava na pristup, ispravak i brisanje osobnih podataka, IPT će odmah takav zahtjev ispitanika proslijediti PARTNERU.
Uzimajući u obzir prirodu obrade i informacije koje su dostupne IPT-u, IPT će PARTNERU, uz trošak PARTNERA, pružiti dodatnu pomoć potrebnu za osiguranje poštivanja obveza PARTNERA u skladu s primjenjivim zakonima o zaštiti podataka, uključujući i pomoć PARTNERU pri izradi procjena utjecaja na zaštitu podataka i prije prethodnih konzultacija s nadzornim tijelima za zaštitu podataka u pogledu visokorizičnih obrada osobnih podataka.
Informacije i revizije
IPT je suglasan pružiti PARTNERU sve informacije potrebne za dokazivanje sukladnosti s obvezama utvrđenim u ovom Dodatku i omogućiti i pridonijeti revizijama, uključujući inspekcije na licu mjesta, koje PARTNER provodi na vlastiti trošak. PARTNER može obavljati reviziju ili ih obavljati treća strana koju je naručila na svoj trošak, što će IPT prethodno potvrditi i prihvatiti. Osobe ili treće strane kojima je PARTNER povjerio takve revizije moraju se u dokumentiranom obliku obvezati da zadrže povjerljivost i moraju biti najavljene IPT-u u odgovarajućem obliku.
Takve se revizije objavljuju u razumnom vremenskom roku, najmanje 30 dana prije revizije, obavljaju na temelju međusobno dogovorenog plana revizije i dužne su tijekom svoje provedbe voditi računa da ne ometaju redovno poslovanje.
PARTNER ne smije obavljati više od jedne provjere na jednom mjestu za dvije godine. Češća provjera dopuštena je samo ako i do mjere potrebne prema važećim zakonima o zaštiti podataka (npr. u slučaju povrede osobnih podataka).
Obavijest o povredi osobnih podataka
U slučaju bilo kakve povrede osobnih podataka, IPT će odmah obavijestiti PARTNERA o takvoj povredi, ali ni u kojem slučaju ne kasnije od 48 sati (četrdeset osam sati) nakon što postane svjestan povrede osobnih podataka, te će dostaviti razumne pojedinosti koje se odnose na povredu osobnih podataka.
Obavijest o povredi osobnih podataka šalje se PARTNERU putem adrese e-pošte: _____________________ i uključuje, u trenutku prijave ili što je prije moguće nakon obavijesti:
opis prirode povrede osobnih podataka uključujući, gdje je to moguće, kategorije i približan broj predmeta podataka o kojima je riječ, kao i kategorije i procijenjeni broj u povredu uključenih zapisa o osobnim podacima;
ime i kontakt podatke službenika za zaštitu podataka ili druge kontakt podatke za daljnje relevantne upite i komunikaciju u pogledu prijavljene povrede osobnih podataka;
opis mogućih posljedica povrede osobnih podataka;
opis mjera poduzetih ili predloženih za rješavanje povrede osobnih podataka, uključujući, gdje je to primjereno, mjere za ublažavanje mogućih štetnih učinaka.
IPT će pružiti sve potrebne informacije i pomoć PARTNERU u svezi s bilo kojom radnjom koja će se poduzeti kao odgovor na takve povrede osobnih podataka u skladu s primjenjivim zakonima o zaštiti podataka.
Osim ako nije drukčije regulirano mjerodavnim pravom, IPT neće otkriti niti objavljivati nikakvu izjavu, komunikaciju, obavijest, priopćenje za javnost ili izvješće o povredi osobnih podataka, niti obavijestiti ispitanike ili tijela javne vlasti za zaštitu podataka, bez prethodnog pisanog pristanka PARTNERA.
Evidencija o aktivnostima obrade podataka
Ako je to potrebno prema primjenjivim zakonskim propisima o zaštiti podataka, IPT mora održavati potpune, točne i ažurirane evidencije o obradama koje se obavljaju u ime PARTNERA sukladno primjenjivima zakonima o zaštiti podataka i članku. 32 (2) GDPR-a i dostaviti ih na zahtjev PARTNERU.
IPT će surađivati s PARTNEROM i dostaviti PARTNERU sve detalje potrebne za održavanje svojih evidencija o obradama, kada to zatraži.
Podugovaranje
Članak
PARTNER dopušta IPT-u da uključi daljnje izvršitelje (pod-izvršitelje) obrade osobnih podataka za obavljanje određenih obrađivačkih aktivnosti u ime PARTNERA, pod uvjetom da IPT nametne iste obveze zaštite podataka kao što je navedeno u ovom Dodatku na onim drugim izvršiteljima obrade, u onoj mjeri koja se primjenjuje na prirodu usluga koje pruža taj izvršitelj obrade, pisanim ugovorom ili drugim aktom prema primjenjivim zakonskim odredbama o zaštiti podataka. IPT će na zahtjev dostaviti PARTNERU sve potrebne informacije u vezi s takvim ugovorima s uključenim daljnjim izvršiteljima obrade osobnih podataka.
Od 25. svibnja 2018. godine IPT će održavati ažurirani popis svojih izvršitelja na xxxx://xxx.xxx.xx i PARTNER će imati mogućnost pretplate na obavijesti o promjenama unutar popisa izvršitelja. Ako se PARTNER pretplati na takve obavijesti, IPT će informirati PARTNERA o svim namjeravanim promjenama u vezi s dodavanjem ili zamjenom izvršitelja koji utječu na PARTNERA najmanje 10 dana prije promjene, čime će PARTNERU omogućiti prigovor takvih promjena unutar navedenog vremenskog razdoblja.
Ako izvršitelj obrade kojeg je angažirao IPT ne ispuni svoje obveze zaštite podataka, IPT će u potpunosti biti odgovoran PARTNERU za izvršavanje obveza takvih izvršitelja obrade.
Međunarodni prijenosi podataka
Članak
Osim ako se pisanim putem (uključujući e-poštu) drugačije dogovori s PARTNEROM, IPT će osigurati da se osobni podaci pohranjuju i obrađuju na obrađivačkim sustavima koji se nalaze u njegovim podatkovnim centrima unutar Europskog gospodarskog područja (EEA). Svaki prijenos osobnih podataka preko podatkovni centara IPT-a koji se nalaze izvan Europske unije ili Europskog ekonomskog područja (EEA) mogu se izvršiti samo nakon upute PARTNERA.
Ako obavljanje Usluga uključuje prijenos osobnih podataka izvan Europskog ekonomskog područja (EEA), IPT će poduzeti korake koji su potrebni kako bi se osigurala odgovarajuća zaštita za takve osobne podatke u skladu s primjenjivim zakonom o zaštiti podataka (osobito članci 44. do 49. GDPR-a), koji mogu uključivati uvrštavanje u Standardne ugovorne odredbe navedene u Odluci Europske komisije 2010/87 / EU.
PARTNER ovime daje suglasnost IPT-u da sklopi bilo koji sporazum ili poduzme bilo kakve mjere, uključujući i u ime PARTNERA, da uspostavi i osigura adekvatnu razinu zaštite podataka u prijenosu osobnih podataka podređenoj stranci izvan EEA. U slučaju primjene EU standardnih ugovora, IPT ima pravo zaključiti takve klauzule u ime PARTNERA. Ovlasti ovlasti za tu svrhu ovime daje PARTNER.
Prestanak važenja Dodatka, brisanje i povrat osobnih podataka
Članak
Ovaj Dodatak stupa na snagu 25. svibnja 2018. ili potpisivanjem obje stranke, ovisno što se dogodi kasnije, a vrijedit će za vrijeme trajanja stvarnog pružanja Usluga od strane IPT-a. Obveze povjerljivosti IPT-a nastavljaju se i nakon prestanka važenja Dodatka.
U slučaju da je IPT u materijalnoj povredi bilo koje odredbe ovog Dodatka, PARTNER ima pravo raskinuti i ovaj Dodatak kao i Ugovor, u cijelosti ili djelomično, pod uvjetima definiranim u Ugovoru.
Nakon raskida ovog Dodatka i/ili Ugovora iz bilo kojeg razloga, IPT će, prema naputku procesora:
pridržavati se bilo kojeg drugog ugovora između Ugovornih stranaka o povratu ili brisanju osobnih podataka; i/ili
vratiti ili izbrisati, po izboru PARTNERA, sve osobne podatke koji su proslijeđeni IPT-u za obradu. Kada se osobni podaci moraju vratiti, to treba biti u formatu s kojeg PARTNER lako može podatke čitati i koristiti. Osobni podaci bit će vraćeni u skladu s rasporedom dogovorenim od stranaka, u roku od deset (10) radnih dana od prestanka ovog Dodatka ili Ugovora. IPT ne smije zadržati kopije osobnih podataka u bilo kojem obliku, osim u svrhu obveza prema važećem pravu EU ili pravu Republike Hrvatske, pa čak i tada samo za trajanje zahtijevane svrhe; i/ili
po primitku uputa od PARTNERA, izbrisati sve takve podatke, osim ako to nije dopušteno obveznim zakonom. U tom slučaju IPT će obavijestiti PARTNERA o takvom zahtjevu, osim ako to nije dopušteno obveznim zakonom.
Ako je to primjenjivo, IPT mora osigurati da svi njegovi podizvođači ispunjavaju obveze navedene u članku 8.3. ovog Dodatka.
Ostalo
Članak
U slučaju bilo kakvog sukoba, odredbe ovog Dodatka imaju prednost nad odredbama Ugovora. Ako pojedine odredbe ovog Dodatka nisu važeće ili neprovedive, neće utjecati na valjanost i provedivost ostalih odredbi ovog Dodatka.
Prilozi
Članak
Sljedeći prilozi sastavni su dio ovog Dodatka:
Prilog 1: Detalji obrade osobnih podataka.
Dana __.__.____ ovlašteni predstavnici Ugovornih stranaka potpisali su i ovjerili ovaj Dodatak u 4 primjerka, od kojih 2 pripadaju IPT-u, a 2 PARTNERU:
PRILOG 1 - DETALJI OBRADE OSOBNIH PODATAKA
Priroda i svrhe obrade:
PARTNER navodi prirodu i svrhu obrade kako slijedi: _____________________.
PARTNER kao izvršitelj obrade ili voditelj obrade povjerava IPT-u kao pod-izvršitelju ili izvršitelju obradu osobnih podataka, koje PARTNER koristi s vremena na vrijeme.
Trajanje obrade:
PARTNER određuje vrijeme trajanja obrade kako slijedi: _____________________.
Kategorije ispitanika:
Osobni podaci mogu se odnositi na sljedeće kategorije ispitanika:
Klijenti/krajnji korisnici/dobavljači (koji su fizička osoba)
Zaposlenici PARTNERA
____________________
Kategorije osobnih podataka:
Obrađeni osobni podaci mogu se odnositi na sljedeće vrste osobnih podataka (ovisno o vrsti Usluge IPT-a i/ili vrsti integracije s IPT Uslugama) koje podatke IPT-u pruža PARTNER:
Klijenti/krajnji korisnici/dobavljači (koji su fizička osoba)
Kontaktni podaci (kao telefonski broj, e-mail adresa, adresa), komunikacijski sadržaj (tekst poruke, datoteke, multimedijski sadržaj ili drugi sadržaji)
U slučaju korištenja posebnih IPT Usluga, osobne podatke mogu uključivati i podaci o spolu, datumu rođenja, OIB-u, JMBG-u ili bilo kojem drugom osobnom podatku upisanom direktno od strane PARTNERA ili samog ispitanika
drugo: ___________________________________
Zaposlenici PARTNERA
kontakt podaci (poput imena, adrese e-pošte i telefonskog broja) zaposlenika ovlaštenih od strane PARTNERA za pristup računu PARTNERA tijekom korištenja IPT Usluga
Drugo: _____________________________
drugo: ______________________________
Preciznu definiciju osobnih podataka određuje i kontrolira isključivo PARTNER.
Posebne kategorije osobnih podataka
IPT ne namjerava prikupljati niti obrađivati nikakve posebne kategorije osobnih podataka, osim ako PARTNER ili njegovi korisnici/krajnji korisnici/dobavljači ne uključuju takav tip podataka u sadržaju predanom IPT-u i/ili tijekom korištenja IPT Usluga. Navedena obrada posebnih kategorija osobnih podataka nije intencionalna za IPT, a PARTNER se smatra isključivo odgovornim za osiguravanje da je takva obrada zakonita i u skladu s bilo kojim primjenjivim zakonom, uključujući i primjenjivi zakon o zaštiti podataka.
Kontaktni podaci za upite o zaštiti podataka:
Kontakt podaci PARTNERA:
Adresa elektroničke pošte: ________________________
Kontakt podaci IPT-a:
Adresa elektroničke pošte službenika za zaštitu podataka: xxx@xxx.xx
Adresa elektroničke pošte za obavijesti o povredi osobnih podataka: xxxx.xxxxxx@xxx.xx