Ugovor o obradi osobnih podataka
Ugovor o obradi osobnih podataka
Trgovac, kako je navedeno u Ugovoru o prihvatu kartica/Obrascu za prijavu trgovca („Trgovac“) i SaltPay IIB hf. („SaltPay“) sklopili su okvirni Ugovor o prihvatu kartica u odnosu na prihvat određenih transakcija Trgovca od strane društva SaltPay („Ugovor o prihvatu kartica“).
Ovim se Ugovorom o obradi osobnih podataka („Ugovor“) utvrđuju dodatni uvjeti i zahtjevi za Trgovca u vezi s obradom osobnih podataka tijekom ispunjenja obveza iz Ugovora o prihvatu kartica. Ovaj Ugovor sadrži obvezne odredbe predviđene čl. 28., st. 3. Opće uredbe o zaštiti osobnih podatka ((EU) 2016/679) za ugovore sklopljene između voditelja obrade i izvršitelja obrade.
UGOVORENI UVJETI
1. DEFINICIJE I TUMAČENJE
Sljedeće definicije i pravila tumačenja primjenjuju se u ovom Ugovoru. Svi izrazi s velikim početnim slovom koji nisu definirani u ovom Ugovoru, imat će značenje koje im je dodijeljeno u Ugovoru o prihvatu kartica.
1.1 Definicije:
Poslovne svrhe: usluge opisane u Ugovoru o prihvatu kartica ili bilo koje druge svrhe posebno
utvrđene u Prilogu A.
Zakonodavstvo u vezi sa zaštitom osobnih podataka: svi važeći zakoni o privatnosti i zaštiti podataka uključujući Opću uredbu o zaštiti osobnih podataka ((EU) 2016/679) i svi važeći nacionalni provedbeni zakoni, uredbe i sekundarno zakonodavstvo u odgovarajućoj državi kako je navedeno u Ugovoru o prihvatu kartica u vezi s obradom osobnih podataka i privatnošću elektroničkih komunikacija, s povremenim izmjenama i dopunama, zamjenama i ažuriranjima, uključujući Direktivu o privatnosti i elektroničkim komunikacijama (2002/58/EZ) i Uredbu o privatnosti i elektroničkim komunikacijama (Direktiva EZ) 2003. (SI 2003/2426)
Ispitanik: pojedinac na kojeg se odnose osobni podaci.
osobni podaci: znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi koje obrađuje pružatelj usluga kao rezultat i u vezi s pružanjem usluga prema Glavnom ugovoru; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Povreda osobnih podataka: znači povreda sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
Obrada, obrade i obrađivanje: bilo koja aktivnost koja uključuje upotrebu osobnih podataka ili drugačiji način na koji zakonodavstvo u vezi sa zaštitom osobnih podataka određuje obradu, obrade ili obrađivanje. To znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. Obrada također uključuje prenošenje osobnih podataka trećim osobama.
1.2 Na ovaj se Ugovor primjenjuju uvjeti iz Ugovora o prihvatu kartica te čini sastavni dio Ugovora
o prihvatu kartica. Tumačenja i definirani izrazi navedeni u Ugovoru o prihvatu kartica primjenjuju se na tumačenje ovog Ugovora.
1.3 Prilozi čine sastavni dio ovog Ugovora te su važeći kao da u cijelosti čine dio teksta ovog Ugovora. Svako pozivanje na ovaj Ugovor uključuje i Priloge.
1.4 Odnošenje na pisanje ili pisani oblik uključuje elektroničku poštu.
1.5 U slučaju sukoba ili dvosmislenosti između:
a) odredbi sadržanih u tekstu ovog Ugovora i odredbi sadržanih u Prilozima, mjerodavna je odredba iz teksta ovog Ugovora
b) uvjeta iz popratnih računa ili drugih dokumenata priloženih ovom Ugovoru i odredbi sadržanih u Prilozima, mjerodavna je odredba sadržana u Prilozima
c) odredbi iz ovog Ugovora i odredbi iz Ugovora o prihvatu kartica, mjerodavne su odredbe iz ovog Ugovora.
2. VRSTE OSOBNIH PODATAKA I SVRHE OBRADE
2.1 SaltPay i Trgovac suglasni su da je u pogledu zakonodavstva u vezi sa zaštitom osobnih podataka i u odnosu na podatke koje je Trgovac prikupio o vlasnicima kartica za ispunjenje obveza iz Ugovora o prihvatu kartica, SaltPay voditelj obrade, a Trgovac izvršitelj obrade. Međutim, Xxxxxxx je voditelj obrade ostalih podataka u vezi s prodajom robe i/ili proizvoda Trgovca.
2.2 Društvo SaltPay zadržava nadzor nad osobnim podacima te je odgovorno za ispunjenje svojih obveza prema važećem zakonodavstvu u vezi sa zaštitom osobnih podataka, uključujući dostavljanje svih potrebnih obavijesti i ishođenje svih potrebnih privola te za upute za obradu koje dostavlja Trgovcu.
2.3 Prilog A opisuje predmet, trajanje, prirodu i svrhu obrade i kategorije osobnih podataka te vrste ispitanika čije podatke društvo SaltPay može obraditi radi ispunjenja poslovnih svrha iz Ugovora o prihvatu kartica.
3. OBVEZE TRGOVCA
3.1 Trgovac će obrađivati Osobne podatke isključivo u mjeri i na način koji su potrebni za Poslovne svrhe u skladu s pisanim uputama društva SaltPay. Trgovac neće izvršiti obradu osobnih podataka u bilo koje druge svrhe ili na način koji nije u skladu s ovim Ugovorom ili zakonodavstvom u vezi sa zaštitom osobnih podataka. Trgovac je obvezan bez odlaganja obavijestiti SaltPay ako, prema njegovom mišljenju, upute društva SaltPay nisu u skladu sa zakonodavstvom u vezi sa zaštitom osobnih podataka.
3.2 Trgovac je dužan bez odlaganja ispuniti zahtjev ili uputu društva SaltPay kojima se traži da Xxxxxxx izmijeni, prenese, izbriše ili na drugi način obradi osobne podatke, ili da zaustavi, umanji ili ispravi neovlaštenu obradu.
3.3 Trgovac će čuvati u tajnosti sve osobne podatke te neće osobne podatke otkriti trećim osobama, osim ako društvo SaltPay ili ovaj Ugovor izričito ne dopuštaju takvo otkrivanje, ili ako je otkrivanje predviđeno zakonom. U slučaju da određeni zakon, sud, regulatorno ili nadzorno tijelo od Trgovca zatraži obradu ili otkrivanje osobnih podataka, Trgovac je obvezan prvo obavijestiti društvo SaltPay
o zakonskom ili regulatornom zahtjevu te pružiti društvu SaltPay mogućnost da dostavi prigovor ili
da ospori takav zahtjev, osim ako je takvo obavještavanje zabranjeno zakonom.
3.4 Trgovac će na uobičajen način pomoći društvu SaltPay da ono ispuni svoje obveze u skladu sa zakonodavstvom u vezi sa zaštitom osobnih podataka, imajući u vidu prirodu obrade od strane Trgovca i informacije dostupne Trgovcu, uključujući u vezi s pravima ispitanika, procjenu učinka na zaštitu podataka i izvješćivanje i savjetovanje s nadzornim tijelima temeljem zakonodavstva u vezi sa zaštitom osobnih podataka.
3.5 Trgovac je dužan bez odlaganja obavijestiti društvo SaltPay o promjenama u zakonodavstvu u vezi sa zaštitom osobnih podataka koji bi mogli negativno utjecati na ispunjenje Ugovora o prihvatu kartica od strane Trgovca.
4. ZAPOSLENICI TRGOVCA
4.1 Trgovac će se pobrinuti da su njegovi zaposlenici:
a) upoznati s povjerljivom prirodom osobnih podataka te da su obvezani postojećim obvezama o povjerljivosti te da se koriste ograničenjima u odnosu na osobne podatke
b) završili obuku o zakonodavstvu u vezi sa zaštitom osobnih podataka koje se odnosi na obradu
osobnih podataka i o načinu na koji si primjenjuje na njihove specifične zadatke i
c) upoznati s dužnostima Trgovca kao i vlastitim dužnostima i obvezama temeljem zakonodavstva u vezi sa zaštitom osobnih podataka i ovog Ugovora.
5. SIGURNOST
5.1 Trgovac je dužan u svakom trenutku provoditi odgovarajuće tehničke i organizacijske mjere za zaštitu od neovlaštene i nezakonite obrade, pristupa, otkrivanja, kopiranja, izmjene, pohrane, reprodukcije, prikazivanja ili distribucije osobnih podataka i od slučajnog ii nezakonitog gubitka, uništenja, izmjene, otkrivanja ili štete osobnih na osobnim podacima, uključujući ali ne ograničeno na sigurnosne mjere navedene u Prilogu B.
5.2 Trgovac je dužan provesti takve mjere kako bi osigurao stupanj sigurnosti koji odgovara
nastalom riziku, uključujući, po potrebi:
a) pseudonimizaciju i enkripciju osobnih podataka
b) sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade
c) sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u
slučaju fizičkog ili tehničkog incidenta i
d) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih
mjera.
6. POVREDA OSOBNIH PODATAKA
6.1 Trgovac će odmah i bez nepotrebnog odgađanja obavijestiti društvo SaltPay u slučaju gubitka ili uništenja, štete, oštećenja ili neiskoristivosti osobnih podataka. Trgovac će ponovno uspostaviti takve osobne podatke na vlastiti trošak.
6.2 Trgovac će bez nepotrebnog odgađanja i u roku od 12 sati obavijestiti društvo SaltPay nakon
što sazna za:
a) bilo kakvu slučajnu, neovlaštenu ili nezakonitu obradu osobnih podataka ili
b) bilo kakvu povredu osobnih podataka.
6.3 U slučaju da Trgovac ima saznanja o slučajevima iz prednjih točaka (a) i/ili (b), također će bez nepotrebnog odgađanja društvu SaltPay dostaviti sljedeće informacije:
a) opis prirode povrede pod (a) i/ili (b), uključujući kategorije i približan broj dotičnih ispitanika i evidencija osobnih podataka
b) opis vjerojatnih posljedica i
c) opis mjera koje je poduzeo ili predložio poduzeti za rješavanje povrede pod (a) i/ili (b), uključujući mjere umanjivanja njezinih mogućih štetnih posljedica.
6.4 Odmah po nastupanju neovlaštene ili nezakonite obrade ili povrede osobnih podataka, ugovorne će se strane međusobno koordinirati oko provedbe istrage o navedenom pitanju. Trgovac će na
uobičajen način surađivati s društvom SaltPay u rješavanju pitanja od strane društva SaltPay,
uključujući:
a) pružanje pomoći tijekom istrage
b) pružanje fizičkog pristupa društvu SaltPay svim pogođenim objektima i poslovanju
c) omogućavanje provedbe razgovora sa zaposlenicima Trgovca, kao i bivšim zaposlenicima i osobama uključenima u slučaj
d) davanje na raspolaganje svih bitnih evidencija, upisnika, datoteka, izvještaja o podacima i ostalih materijala potrebnih za usklađivanje sa zakonodavstvom u vezi sa zaštitom osobnih podataka ili prema opravdanom zahtjevu društva SaltPay i
e) poduzimanje uobičajenih i hitnih koraka za umanjenje učinaka i umanjenje štete proizašle iz
povrede osobnih podataka ili nezakonite obrade osobnih podataka.
6.5 Trgovac neće obavijestiti treće osobe o povredi osobnih podataka bez ishođenja prethodne pisane suglasnosti društva SaltPay, osim ako je to zakonom obvezan.
6.6 Trgovac će snositi sve uobičajene troškove povezane s ispunjenjem obveza iz klauzule 6.2 i klauzule 6.4 osim ako događaj nije nastao zbog specifičnih uputa društva SaltPay, nemara, namjernog neispunjenja obveza ili povrede ovog Ugovora od strane društva SaltPay te će u tom slučaju društvo SaltPay snositi sve uobičajene troškove.
7. PREKOGRANIČNI PRIJENOS OSOBNIH PODATAKA
7.1. Trgovac (ili bilo koji podizvođač) ne smiju prenositi ili obrađivati osobne podatke izvan Europskog gospodarskog prostora (EEA) bez ishođenja prethodne pisane suglasnosti društva SaltPay.
7.2 U slučaju da prijenos osobnih podataka između društva SaltPay i Trgovca iziskuje potpisivanje Standardnih ugovornih klauzula za prijenos osobnih podataka iz Europske unije obrađivačima u trećim zemljama Europske komisije, kako je navedeno u prilogu Odluci Komisije 2010/87/EU, s naknadnim izmjenama i dopunama, u svrhu pridržavanja zakonodavstva u vezi sa zaštitom osobnih podataka, ugovorne strane će potpisati takve Standardne ugovorne klauzule te će poduzeti sve ostale radnje potrebne za ozakonjenje prijenosa.
8. PODIZVOĐAČI
8.1 Trgovac može ovlastiti treću osobu (podizvođača) za obradu osobnih podataka samo ako:
a) je društvu SaltPay omogućeno da uloži prigovor na imenovanje svakog podizvođača u roku od 30 dana nakon što je Trgovac SaltPay dostavio potpune podatke o tom podizvođaču
b) je Trgovac sklopio pisani ugovor s podizvođačem koji u bitnom sadrži uvjete jednake onima iz Ugovora, posebice u odnosu na potrebu za odgovarajućim tehničkim i organizacijskim mjerama za sigurnost podataka i, na zahtjev društva SaltPay, ako je dostavio društvu SaltPay kopije tih ugovora
c) su svi uvjeti definiranim Ugovorom o prihvatu kartica i Općim uvjetima ispunjeni od strane podizvođača
d) Trgovac zadržava kontrolu nad svim osobnim podacima koje povjerava podizvođaču i
e) ugovor podizvođača prestaje automatski po prestanku ovog Ugovora iz bilo kojeg razloga.
8.2 Ako podizvođač ne ispuni svoje obveze temeljem takvog pisanog ugovora, Trgovac je u cijelosti odgovoran prema društvu SaltPay za ispunjenje ugovornih obveza od strane podizvođača.
8.3 Na pisani zahtjev društva SaltPay, Trgovac će provesti reviziju podizvođačeve usklađenosti sa svojim obvezama u vezi s osobnim podacima društva SaltPay te će bez odlaganja društvu SaltPay dostaviti rezultate revizije.
9. PRITUŽBE, ZAHTJEVI ISPITANIKA I PRAVA TREĆIH OSOBA
9.1 Trgovac je dužan, bez dodatnih troškova za društvo SaltPay, provesti odgovarajuće tehničke i organizacijske mjere i bez odgađanja dostaviti informacije koje društvo SaltPay zatraži, kako bi društvo SaltPay bilo u skladu s:
a) pravima ispitanika temeljem zakonodavstva u vezi sa zaštitom osobnih podataka, uključujući prava pristupa ispitanika, prava ispravka i brisanja osobnih podataka, prigovora na obradu i automatiziranu obradu osobnih podataka i ograničavanja obrade osobnih podataka i
b) informacijama ili obavijestima o procjeni koje društvu SaltPay dostavlja bilo koje nadzorno tijelo
temeljem zakonodavstva u vezi sa zaštitom osobnih podataka.
9.2 Trgovac je odmah dužan obavijestiti društvo SaltPay ako zaprimi pritužbe, obavijesti ili
komunikacije koje se izravno ili neizravno odnose na obradu osobnih podataka.
9.3 Trgovac je dužan obavijestiti društvo SaltPay u roku od tri (3) radna dana ako zaprimi zahtjev od ispitanika za pristup njegovim/njezinim osobnim podacima ili za ostvarenje njegovih/njezinih povezanih prava temeljem zakonodavstva u vezi sa zaštitom osobnih podataka.
9.4 Trgovac će društvu SaltPay pružiti potpunu suradnju i pomoć u očitovanju na pritužbe,
obavijesti, komunikacije ili zahtjeve ispitanika.
9.5 Trgovac ne smije otkrivati osobne podatke ispitanicima ili trećim osobama osim na temelju zahtjeva ili uputa društva SaltPay, kako je navedeno u ovom Ugovoru ili ako je propisano zakonom.
10. TRAJANJE I PRESTANAK
10.1 Ovaj Ugovor ostaje na snazi te je valjan sve dok:
a) je Ugovor o prihvatu kartica na snazi ili
b) Trgovac zadržava osobne podatke koji se odnose na Ugovor o prihvatu kartica koje posjeduje ili kojima upravlja (Razdoblje trajanja).
10.2 Sve odredbe iz ovog Ugovora koje izričito ili za koje se podrazumijeva da stupaju na snagu ili ostaju na snazi u trenutku ili nakon prestanka Xxxxxxx o prihvatu kartica radi zaštite osobnih podataka, u cijelosti ostaju na snazi.
10.3 Ako promjena u zakonodavstvu u vezi sa zaštitom osobnih podataka sprječava bilo koju ugovornu stranu da u cijelosti ili djelomično ispunjava svoje obveze iz Ugovora o prihvatu kartica, ugovorne će strane obustaviti obradu osobnih podataka dok takva obrada ne bude u skladu s novim zahtjevima. Ako ugovorne strane ne mogu uskladiti obradu osobnih podataka sa zakonodavstvom u vezi sa zaštitom osobnih podataka u roku od tri (3) mjeseca, ugovorne strane mogu raskinuti Ugovor o prihvatu kartica dostavom pisane obavijesti o raskidu drugoj ugovornoj strani.
11. VRAĆANJE I UNIŠTAVANJE PODATAKA
11.1 Na zahtjev društva SaltPay, Trgovac će društvu SaltPay dostaviti kopiju ili omogućiti pristup svim ili dijelu osobnih podataka društva SaltPay koje posjeduje ili kojima upravlja u formatu i putem medija koje društvo SaltPay odredi na uobičajen način.
11.2 Po prestanku Xxxxxxx o prihvatu kartica iz bilo kojeg razloga ili po isteku trajanja, Trgovac će na siguran način izbrisati ili uništiti ili, ako to u pisanom obliku nalaže društvo SaltPay, vratiti i neće zadržati, sve ili dio osobnih podataka koji se odnose na ovaj Ugovor koji su u njegovom posjedu ili koje kontrolira.
11.3 Ako bilo kakav zakon, propis, vladino ili regulatorno tijelo zahtijeva da Trgovac zadrži dokumente ili materijale koje bi Trgovac inače trebao vratiti ili uništiti, o takvoj će obvezi za zadržavanje u pisanom obliku obavijestiti društvo SaltPay, navodeći detalje o dokumentima i
materijalima koje je dužan zadržati, zakonskoj osnovi zadržavanja i određujući specifičan rok za uništenje nakon što prestane obveza zadržavanja.
12. EVIDENCIJA
12.1 Trgovac će voditi detaljnu, točnu i ažuriranu pisanu evidenciju o obradi osobnih podataka koju obavlja za društvo SaltPay, uključujući ali ne ograničeno na, pristup, nadzor i sigurnost osobnih podataka, odobrene podizvođače i povezane osobe, svrhu obrade, kategorije obrade, sve prijenose osobnih podataka trećim zemljama i povezane zaštitne mjere i opći opis tehničkih i organizacijskih sigurnosnih mjera navedenih u Klauzuli 5.1 (Evidencija).
13. REVIZIJA
13.1 Trgovac će dopustiti društvu SaltPay i njegovim predstavnicima-trećim osobama da provedu reviziju u vezi s usklađenosti Xxxxxxx s njegovim obvezama iz Ugovora, dostavom obavijesti najmanje deset (10) dana unaprijed, tijekom Razdoblja trajanja. Trgovac će društvu XxxxXxx i njegovim predstavnicima-trećim osobama pružiti svu potrebnu pomoć za provedbu takve revizije. Pomoć može uključivati ali nije ograničena na:
a) fizički pristup, daljinski elektronički pristup i kopije evidencije i svih ostalih informacija koje se
nalaze u prostorijama Trgovca ili na sustavima u kojima se pohranjuju Osobni podaci
b) pristup i sastanke s osobljem Trgovca što je opravdano potrebno za pružanje svih objašnjenja i učinkovito provođenje revizije i
c) provjeru cjelokupne evidencije i infrastrukture, elektroničkih podataka ili sustava, objekata,
opreme ili aplikacijskog softvera korištenog za pohranu, obradu ili prijenos osobnih podataka.
13.2 Obveza obavještavanja iz Klauzule 13.1 neće se primjenjivati ako društvo SaltPay opravdano smatra da je nastala ili je u tijeku povreda osobnih podataka ili da je Trgovac prekršio svoje obveze temeljem ovog Ugovora ili zakonodavstva u vezi sa zaštitom osobnih podataka.
13.3 U slučaju da nastane ili da je u tijeku povreda osobnih podataka ili ako Trgovac sazna o povredi svojih obveza temeljem ovog Ugovora ili zakonodavstva u vezi sa zaštitom osobnih podataka, Trgovac će:
a) odmah provesti vlastitu reviziju radi utvrđivanja uzroka
b) dostaviti pisano izvješće koje uključuje detaljne planove za ispravak nedostataka utvrđenih
revizijom
c) dostaviti društvu SaltPay kopiju pisanog izvješća o reviziji i
d) ispraviti eventualne nedostatke utvrđene revizijom u roku od 14 dana.
13.4 Trgovac će najmanje jednom godišnje provoditi revizije na licu mjesta u odnosu na praksu obrade osobnih podataka te nadzor informacijske tehnologije i informacijske sigurnosti za sve objekte i sustave korištene za usklađivanje s njegovim obvezama temeljem ovog Ugovora, uključujući ali ne ograničeno na ishođenje procjene ranjivosti na razini mreže koju će provesti ovlašteni revizor – treća osoba u skladu s priznatom najboljom praksom u industriji.
13.5 Na zahtjev društva SaltPay, Trgovac će učiniti sva odgovarajuća revizorska izvješća dostupnima društvu SaltPay za pregled, uključujući: izvještaj usklađenosti sa Standardom sigurnosti podataka Industrije platnih kartica (PCI) i po potrebi: Potvrdu o usklađenosti (AOC), Upitnik samoprocjene (SAQ), skenove od Ovlaštenih prodavača aplikacija za skeniranje (ASV) i/ili Izvješće o usklađenosti (ROC).
13.6 Trgovac će se odmah pristupiti svim iznimkama navedenim u revizorskim izvješćima tako što će njegova ovlaštena osoba razviti i provesti korektivni akcijski plan.
14. JAMSTVA
14.1 Trgovac jamči i izjavljuje da:
a) su njegovi zaposlenici, podizvođači, agenti i svaka osoba ili osobe koje pristupaju osobnim podacima u njegovo ime, pouzdani te da su pohađali potrebnu obuku o zakonodavstvu u vezi sa zaštitom osobnih podataka koja se odnosi na osobne podatke
b) će on i sve osobe koje posluju u njegovo ime obrađivati osobne podatke u skladu sa zakonodavstvom u vezi sa zaštitom osobnih podataka i ostalim zakonima, zakonskim odredbama, propisima, nalozima, normama i sličnim instrumentima
c) ne smatra da ga zakonodavstvo u vezi sa zaštitom osobnih podataka sprječava da pruža usluge
ugovorene u Ugovoru o prihvatu kartica i
d) imajući u vidu trenutačne tehnološke i provedbene troškove, će poduzeti odgovarajuće tehničke i organizacijske mjere kako bi spriječio neovlaštenu ili nezakonitu obradu osobnih podataka i slučajni gubitak ili uništenje ili štetu na osobnim podacima te će osigurati odgovarajuću razinu sigurnosti prikladnu za:
I. štetu koja bi nastala iz takve neovlaštene ili nezakonite obrade ili slučajnog gubitka, uništenja ili štete
II. prirodu zaštićenih osobnih podataka i
III. usklađenost sa svim važećim zakonodavstvom u vezi sa zaštitom osobnih podataka i njegovim politikama o informacijama i sigurnosti, uključujući sigurnosne mjere iz Klauzule 5.1.
14.2 Društvo SaltPay jamči i izjavljuje da će očekivana upotreba osobnih podataka od strane Trgovca u poslovne svrhe i prema specifičnim uputama društva SaltPay biti u skladu sa zakonodavstvom u vezi sa zaštitom osobnih podataka.
15. OBAVIJEST
15.1 Sve obavijesti i ostala komunikacija dostavljena ugovornoj strani temeljem ili u vezi s ovim Ugovorom mora biti u pisanom obliku i dostavljena u skladu s uvjetima iz Ugovora o prihvatu kartica.
PRILOG A
DETALJI I SVRHA OBRADE OSOBNIH PODATAKA
Predmet obrade: informacije o imateljima kartica i transakcijama i ostale informacije potrebne
društvu SaltPay za pružanje usluga temeljem Ugovora o prihvatu kartica.
Trajanje obrade: Razdoblje trajanja Ugovora o prihvatu kartica.
Priroda obrade i Xxxxxxxx svrha: cilj obrade jest taj da Trgovac svojim klijentima učini dostupnima pogodna sredstva za kupnju robe i/ili usluga upotrebom kartica izdanih pod oznakama kartičnih shema. Temeljem Ugovora o prihvatu kartica, Trgovac može prihvatiti ispravno predočene kartice kao sredstvo plaćanja i prosljediti transakcije društvu SaltPay radi autorizacije, prijeboja i namire kako je navedeno u Ugovoru o prihvatu kartica.
Kategorije osobnih podataka: podaci koji se odnose na imatelje kartica i informacije o transakcijama koji u određenim okolnostima uključuju posebne kategorije podatke kako je navedeno u zakonodavstvu u vezi sa zaštitom osobnih podataka.
Vrste ispitanika: imatelji kartica.
PRILOG B
SIGURNOSNE MJERE
Trgovac će se pridržavati aktualne verzije standarda PCI-DSS. PCI-DSS i popratna dokumentacija dostupni su na xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/xxxxxxxx_xxxxxxx