ANEKS 2 UGOVORA O OBRADI PODATAKA
1. DEFINICIJE I KONSTRUKCIJE
"Ugovor" znači ovaj Ugovor o obradi podataka, uključujući Rasporede, koji se s vremena na vrijeme mijenjaju.
"Assa Abloy" znači [Assa Abloy Croatia d.o.o.]
"Radni xxx" znači xxx (osim subote ili nedjelje ili državnog praznika) na koji su poslovne banke otvorene za opće bankarsko poslovanje u jurisdikciji u kojoj je klijent osnovan, osim za isključivo usluge internetskog bankarstva;
" Ugovor o klauzulama modela EU" znači relevantne klauzule modela EU za prijenos osobnih podataka u treće zemlje;
"Zakonodavstvo EU o osobnim podacima" znači (i) Opću uredbu o zaštiti podataka (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti fizičkih osoba s obzirom na obradu osobnih podataka i o slobodnom kretanju takvih podataka ("GDPR") (ii) lokalna zakonodavstva koja ostaju na snazi i nakon 25. svibnja 2018., kao i (iii) sva lokalna zakonodavstva u kojima se provode dodatni regulatorni zahtjevi za GDPR i sve njegove izmjene;
"Glavni ugovor" znači Ugovor kojim se definira komercijalni odnos između stranaka dodatno opisan u Rasporedu 1;
"Stranka"/"Stranke" znači Klijent i Assa Abloy odvojeno ili zajedno, ovisno o slučaju;
"Povreda osobnih podataka" znači povredu sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju xx xxxxxx Dobavljača ili podizvođača tijekom obavljanja usluga.
"Projekt" znači xxxx xx opisano Rasporedu 1 i implementirano xx xxxxxx Klijenta (uključujući sve povezane usluge koje s vremena na vrijeme pruža Assa Abloy);
"Svrha" znači xxxx xx opisano u Rasporedu 1;
"Regulatorni zahtjevi" znači zakonodavstvo EU o osobnim podacima, kao što je zakonodavstvo koje s vremena na vrijeme može zamijeniti xxxx spomenuto zakonodavstvo, lokalne pravne zahtjeve koje specificira lokalna jurisdikcija (a u slučaju odstupanja ili proturječnosti između različitih pravila ili propisa primjenjuje se xxx xxxx pruža najviši stupanj privatnosti i/ili informacijske sigurnosti) i svi povezani propisi ili instrumenti te svi drugi zakoni, propisi, regulatorni zahtjevi i kodeksi prakse koji se primjenjuju na pružanje usluga Asse Abloy;
"Nadzorno tijelo" znači bilo koji sud, regulatorna agencija ili tijelo koje, u skladu s primjenjivim zakonima i/ili propisima (uključujući regulatorne zahtjeve), nadzire pitanja privatnosti i/ili obradu osobnih podataka.
Pojmovi i izrazi koji xxxx xxxxxx velikim tiskanim slovima korišteni u ovom Ugovoru, npr. „subjekt xxxx se podaci prikupljaju“, „kontrolor“, „osobni podaci“, „obrada“, „obrađivač“, „treća zemlja“ itd. imat će značenje u skladu sa značenjem koje im se pripisuje u Zakonodavstvu EU o osobnim podacima. Osobni podaci koje Dobavljač obrađuje u pružanju usluga ograničeni su na osobne podatke koje prenosi Klijent, ili krajnji korisnici u njegovo ime, izravno u infrastrukturu udomljene usluge. Vrste osobnih podataka koje se mogu koristiti za obavljanje usluge one su posebno navedene u Rasporedu 1.
2.1.1. Xxxxxxxx se smatra voditeljem osobnih podataka koji se obrađuju u njegovo ime i u skladu s njegovim uputama, a Assa Abloy smatra se obrađivačem osobnih podataka obrađenih u ime Xxxxxxxx.
2.1.2. Dobavljač može obrađivati osobne podatke Klijenta samo u svrhu i u mjeri u kojoj je to potrebno za ispunjenje obveza Assa Abloya iz ovog Ugovora ili Glavnog ugovora. U slučaju da Assa Abloy povrijedi Regulatorne zahtjeve utvrđivanjem svrha i sredstava obrade (npr. obradom osobnih podataka kojima se krši Svrha), obrađivač će se smatrati voditeljem obrade u vezi s xxx obradom i u potpunosti će biti odgovoran kao voditelj obrade u skladu s regulatornim zahtjevima, uključujući u vezi s bilo kakvim sankcijama u skladu s xxx odredbama.
2.1.3. Dobavljač priznaje da su, između stranaka, sva prava, vlasništvo i interes za osobne podatke obrađeni kao rezultat ovog Ugovora dodijeljeni isključivo Klijentu, bez obzira na to smatra li se i u kojoj mjeri Assa Abloy kontrolorom osobnih podataka.
Klijent se obvezuje:
(a) osigurati da postoji pravna osnova za obradu osobnih podataka obuhvaćenih ovim Ugovorom;
(b) Obavijestiti Assu Abloy o svim pogrešnim, ispravljenim, ažuriranim ili izbrisanim osobnim podacima podložnima obradi Xxxx Xxxxx.
(c) održavati sve registracije prema zakonodavstvu EU-a o osobnim podacima.
Klijent izjavljuje i jamči da se osobni podaci koje pruža Dobavljaču za obradu mogu obraditi zakonito (npr. zakonito prikupljanje, usklađenost s obvezom informiranja i poštivanje važećeg zakona o privatnosti podataka) i u svrhu pružanja usluga. Klijent svojim ponašanjem ili propustom ne smije staviti Dobavljača ili njegove podizvođače poziciju da u krše bilo kakve zakone o privatnosti podataka u vezi s obradom osobnih podataka. Klijent osigurava da su osobni podaci točni, primjereni i potpuni. Usto, po potrebi, Klijent jamči da će krajnjim korisnicima dati sve odgovarajuće obavijesti i da je dobio sve odgovarajuće suglasnosti za prijenos osobnih podataka Dobavljaču ili da Dobavljaču omogući zakonito prikupljanje osobnih podataka izravno od krajnjih korisnika i omogući njihovu obradu po potrebi radi pružanja usluga u skladu s ovim Ugovorom.
Dobavljač se obvezuje:
(a) obrađivati osobne podatke samo u skladu s regulatornim zahtjevima i dokumentiranim uputama korisnika, uključujući one o prijenosu osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nije potrebno prema Regulatornim zahtjevima; u xxx slučaju Assa Abloy, prije obrade osobnih podataka, obavještava Klijenta o xxx pravnom zahtjevu, osim ako su te informacije zabranjene regulatornim zahtjevima iz važnih razloga od javnog interesa.
(b) osigurati da pristup osobnim podacima imaju samo oni zaposlenici (Asse Abloy ili njegovih podizvođača) koji ga moraju imati kako bi ispunili obveze Asse Abloy iz ovog Ugovora te da su prošli odgovarajuću obuku i upute u vezi s obradom osobnih podataka, kao i da su se obvezali na povjerljivost ili da su pod odgovarajućom zakonskom obvezom povjerljivosti;
(c) uzimajući u obzir prirodu obrade, provesti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala razina sigurnosti primjerena riziku (a kao minimum one sigurnosne mjere dodatno opisane u Rasporedu 1) i pomoći Klijentu provedbom odgovarajućih tehničkih i organizacijskih mjera, u mjeri u kojoj je to moguće, za ispunjenjem obveze Klijenta da odgovori na zahtjeve za ostvarivanje prava ispitanika utvrđenih zakonodavstvom EU o osobnim podacima;
(d) pomoć klijentu u osiguravanju usklađenosti s obvezama u skladu s GDPR-om, od Članka 33. do
36. (npr. pomaganje Klijentu u slučaju povrede osobnih podataka prilikom provođenja procjena učinka zaštite podataka i prethodnih savjetovanja);
(e) raskidom ili istekom ovog Ugovora, na zahtjev Klijenta, izbrisati ili vratiti Klijentu sve primjerke osobnih podataka obrađenih u ime Klijenta, osim ako je to potrebno kako bi se takvi osobni podaci zadržali isključivo u svrhu poštivanja zakona;
(f) učiniti dostupnima Klijentu sve dokumente i informacije potrebne za demonstraciju usklađenosti s obvezama utvrđenima ovim Ugovorom te omogućiti i doprinijeti revizijama, uključujući inspekcijama, koje provodi Klijent ili drugi revizor kojeg je klijent opunomoćio, a u skladu s člankom 4.; I
(g) inače, u svakodnevnom poslovanju, biti u skladu s regulatornim zahtjevima.
3.1. Ako Assa Xxxxx želi angažirati podizvođača, dobit će o tome prethodno xxxxxx odobrenje Klijenta, koje se ne smije nerazumno uskratiti ili odgoditi. Radi izbjegavanja sumnje, Klijent u potpunosti i izričito pristaje na uporabu podizvođača s kojima Assa Abloy ima Ugovor u trenutku kada ovaj Ugovor stupa na snagu. Dobavljač obavještava Klijenta o svim planiranim promjenama koje se odnose na dodavanje ili zamjenu drugih podizvođača, čime se Klijentu daje mogućnost prigovora na takve promjene.
3.2. Imenovanje bilo kojeg podizvođača podliježe obvezi podizvođača pisanim ugovorom u kojem se navodi da xx xxxx pridržavati suštinski iste zaštite podataka i privatnosti kao i Assa Abloy u skladu s ovim Ugovorom. Na zahtjev, Klijent ima pravo na kopiju ugovora između Assa Abloya i podizvođača.
3.3. [NAMJERNO IZOSTAVLJEN]
3.4. Klijent može odlučiti da podizvođač više ne smije biti uključen u obradu osobnih podataka uime Klijenta ako (i) Klijent može dati razumne razloge zašto smatra da je uspješnost podizvođača materijalno
manjkava, ili (ii) Klijent razumno utvrdi da podizvođač nije u mogućnosti učinkovito obavljati svoje odgovornosti u skladu s ovim Ugovorom. Ako Klijent xxxxxx takvu odluku, Assa Abloy će ili (i) ukloniti takvog podizvođača što je brže moguće; i (ii) dopustiti Klijentu da bez kazne prekine korištenje pogođenih usluga.
3.5. Dobavljač ostaje odgovoran za sve izvršene obveze i za bilo kakav propust u ispunjavanju ili usklađivanju s odredbama iz ovog Ugovora xx xxxxxx podizvođača u istoj mjeri kao da xx Xxxx Xxxxx izvršila ili propustila izvršiti takve obveze. Dobavljač također ostaje jedina Klijentova kontaktna točka.
4.1. Klijent, revizor po izboru Klijenta ili Xxxxxxxx tijelo imaju pravo obavljati revizije obrade osobnih podataka Klijenta Xxxx Xxxxx (uključujući takvu obradu koju mogu provesti podizvođači Xxxx Xxxxx ako postoje) kako bi se provjerila usklađenost Xxxx Xxxxx i bilo kojeg podizvođača s ovim Ugovorom.
4.2. Dobavljač će tijekom uobičajenog radnog vremena i po razumnoj obavijesti (pri čemu će se otkazni rok od trideset (30) radnih xxxx uvijek smatrati razumnim), pružiti osoblju Klijenta ili njegovim angažiranim konzultantima, njegovim internim ili vanjskim revizorima, inspektorima i regulatorima razuman pristup dijelovima prostora u kojem Xxxx Abloy obavlja aktivnosti obrade, osoblju te svim podacima i evidencijama (uključujući alate i postupke) koji se odnose na obradu. Revizori i drugi predstavnici Klijenta poštuju razumna pravila rada Xxxx Xxxxx, sigurnosne zahtjeve i standarde prilikom provođenja posjeta web-lokaciji.
Ako bilo koje nadzorno tijelo:
(h) kontaktira Assu Abloy u odnosu na svoje sustave ili bilo koju obradu osobnih podataka koju provodi Assa Abloy,
(i) (ii) provodi ili daje obavijest o svojoj namjeri provođenja inspekcije Xxxx Xxxxx u pogledu obrade osobnih podataka ili
(j) (iii) poduzima ili daje obavijest o svojoj namjeri da poduzme bilo koju drugu regulatornu radnju koja se temelji na nepravilnim ili neodgovarajućim praksama u vezi s bilo kakvom obradom osobnih podataka koju provodi Assa Abloy, a potom xx Xxxx Xxxxx o svim ograničenjima koje je nametnulo Xxxxxxxx tijelo odmah obavijestiti Klijenta da naknadno pruži Klijentu sve informacije o tome koje su potrebne, u mjeri dopuštenoj zakonom. Bez obzira xx xxxx navedeno, svako Xxxxxxxx tijelo uvijek će imati izravan i neograničen pristup prostorima Xxxx Xxxxx, opremi za obradu podataka i dokumentaciji kako bi se istražilo da se obrada osobnih podataka Asse Abloy obavlja u skladu s regulatornim zahtjevima.
4.3. Dobavljač u svakom trenutku vodi sveobuhvatnu i ažuriranu evidenciju o tome gdje se nalazi/nalaze IT sustav(i) koji se koristi/koriste za obradu osobnih podataka u Klijentovo ime. Kako bi se izbjegla sumnja, to uključuje lokacije svih IT sustava koji pripadaju bilo kojem podizvođaču. Na zahtjev, Assa Abloy će odmah dati Klijentu kopiju zapisa.
4.4. Klijent ima pravo provesti reviziju obrade osobnih podataka Klijenta Xxxx Xxxxx (uključujući obradu koju mogu provesti podizvođači Xxxx Xxxxx, ako postoje) bez prethodne obavijesti Assi Abloy u slučaju kad Klijent ima saznanja da xx xxxxx do povrede koja uključuje osobne podatke Klijenta, koju su prouzročili Assa Abloy ili Podizvođač Xxxx Xxxxx. Ako revizija pokaže da su podizvođač Xxxx Xxxxx ili Assa Abloy prouzročili povredu, troškove sanacije i troškove revizije podmiruje Assa Abloy.
4.5. Osim kao što je navedeno u članku 4.5., svaka stranka snosi vlastite troškove za ovdje navedene revizije, osim ako revizija otkrije neusklađenost s ovim Ugovorom ili Regulatornim zahtjevima, u kojem slučaju Xxxx Abloy snosi sve troškove revizije.
4.6. Dobavljač će koristiti razumne napore kako bi Klijentu omogućio fizičku reviziju prostora podizvođača u mjeri u kojoj je to dobavljač u mogućnosti učiniti.
5.1. S obzirom na osobne podatke koji potječu ili se obrađuju u ime EU/EEA i koji se prenose podizvođačima Asse Abloy unutar EU/EEA, primjenjuje se ono što je navedeno u članku 3. vezano uz podizvođače.
5.2. S obzirom na osobne podatke koji potječu ili se obrađuju uime korisnika unutar EU/EEA, a xxxxxx xx pristupio ili na drugi način obradio Assa Abloy ili podizvođač u jurisdikcijama izvan EU/EEA (uključujući upotrebom IT rješenja koja se nalaze na oblaku) Assa Abloy se obvezuje da se takav prijenos osobnih podataka Klijenta neće odvijati bez prethodnog pisanog Ugovora s Klijentom i da će biti podložan sklapanju Ugovora o klauzulama modela EU između Xxxx Xxxxx i Klijenta i/ili Klijenta i podizvođača. Stranke se slažu da se svi sporovi koji proizlaze iz Ugovora o klauzulama modela EU tretiraju kao da xx xxxxxxx u skladu s ovim Ugovorom.
5.3. Odredba 5.2 se ne primjenjuje ako je (i) jurisdikcija u kojoj je osnovan Assa Abloy ili podizvođač ocijenjena xx xxxxxx Europske unije kao jurisdikcija s odgovarajućom zaštitom osobnih podataka ili (ii) ako su se Assa Abloy i/ili njezini podizvođači koji se nalaze u SAD-u pridružili i nastavili sudjelovati u Sustavu zaštite privatnosti. U xxx se slučaju Assa Abloy obvezuje odmah obavijestiti Klijenta ako se oslanja na odredbe ove odredbe 5.3 za bilo kakvu obradu ili podobradu ili ako Assa Abloy i/ili njegovi podizvođači unutar SAD-a više ne ispunjavaju uvjete za prijenose u okviru Zaštite privatnosti. Ako Europska unija naknadno ocijeni da je zaštita privatnosti neodgovarajuća za prijenos osobnih podataka u SAD, Assa Abloy pristaje zamijeniti oslanjanje na Sustav zaštite privatnosti s bilo kojim mehanizmom koji Klijent predloži kao zamjenu, kao što je Xxxxxx o klauzulama modela EU.
6.1. Dobavljač nema pravo na dodatnu naplatu temeljem ovog Ugovora.
7.1. Ovaj Ugovor stupa na snagu na Datum pravomoćnosti i može ga raskinuti ako Klijent da otkazni rok od trideset (30) xxxx, osim ako ranije ne bude raskinut zbog materijalne povrede uvjeta iz ovog Ugovora, u kojem slučaju se ovaj Ugovor raskida s trenutnim učinkom ako druga strana ne ispravi takvo kršenje na zadovoljavajući način u roku od petnaest (15) xxxx xxxxx pisanog zahtjeva druge strane.
7.2. Po prestanku ovog Ugovora iz bilo kojeg razloga, Assa Abloy prestaje s obradom osobnih podataka obrađenih u ime Klijenta i dogovara njihov brz i siguran povratak Klijentu (ili od njega navedenoj trećoj strani) u zajedničkom čitljivom formatu koji su dogovorile strane, ili uništenje, prema jedinoj opciji Klijenta, svih takvih osobnih podataka zajedno sa svim kopijama u njegovu posjedu ili kontroli, osim ako je potrebna pohrana osobnih podataka u skladu s regulatornim zahtjevima. Klijent može zahtijevati od Asse Abloy da Klijentu odmah potvrdi u pisanom obliku da xx Xxxx Abloy vratila ili uništila sve kopije takvih osobnih podataka.
8.1. Svaka stranka će obeštetiti i drugu stranku obeštetiti u slučaju i protiv svih gubitaka pri potraživanjima trećih strana, uključujući novčane kazne vlade/tijela i kazne koje su uzrokovane, proizlaze iz ili se odnose na bilo kakvo kršenje xx xxxxxx takve prvospomenute Stranke ovog Ugovora.
8.2. Svaki gubitak koji je pretrpjela stranka, a koji proizlazi iz ili se odnosi na kršenje ovog Ugovora xx xxxxxx xxxxx stranke, a koji nije posljedica potraživanja trećih strana iz članka 8.1., uređen je odredbama koje se odnose na odgovornost i ograničenje odgovornosti u Glavnom ugovoru.
9.1. Sve obavijesti Stranci u skladu s ovim Ugovorom šalju se u pisanom obliku i šalju na njezinu adresu kao što je predviđeno na početku ovog Ugovora ili u Obavijesti o pristupanju (xxxx xx primjenjivo) ili na drugu adresu xxxx xx stranka u tu svrhu dostavila onoj drugoj pisanim putem. Obavijesti se mogu slati poštom, kurirom, faksom ili e-poštom.
9.2. Smatra se da su obavijesti dane uredno (i) na xxx dostave kada su dostavljene osobno ili kurirskom službom, (ii) tri (3) radna xxxx xxxxx xxxx xxxx je obavijest poslana poštom i (iii) na xxx xxxx je primatelj ručno potvrdio da je zaprimljena prilikom slanja poštom ili e-poštom.
10.1. Nijedna strana ne može dodijeliti svoja prava ili obveze iz ovog Ugovora bez prethodne pisane suglasnosti druge strane.
10.2. Ovaj Xxxxxx predstavlja i čini cijeli Ugovor i dogovor između stranaka u pogledu predmeta o kojem se radi te zamjenjuje sve Ugovore, sporazume ili obećanja u pogledu toga. Kako bi se izbjegla sumnja, u slučaju bilo kakvih nedosljednosti između odredbi ovog Ugovora i bilo kojeg drugog Ugovora između stranaka, uvjeti ovog Ugovora prevladavaju u odnosu na obveze zaštite podataka stranaka, uključujući režim odgovornosti i naknade štete iz članka 8.
10.3. Nijedna izmjena, promjena, objava ili razrješenje iz ovog Ugovora ne obvezuje stranke, osim ako ih ovlašteni predstavnici stranaka ne izvršavaju u pisanom obliku i propisno izvršavaju.
Odredbe o mjerodavnom pravu i sporovima navedene su u Glavnom ugovoru ili će u nedostatku jasne alternative u Glavnom ugovoru taj Ugovor biti uređen i tumačit će se u skladu sa zakonima Republike Hrvatske. Stranke sve svoje sporove koji proizlaze iz ili u vezi s ovim Ugovorom podnose isključivoj jurisdikciji [Trgovački sud u Zagrebu].
Stranke su potpisivanjem Obrasca za narudžbu naznačile svoje prihvaćanje ovog Ugovora.
Svrha: Svrha obrade xx xx Xxxx Xxxxx Xxxxxxxx pruži Incedo™ Business Cloud i s njim povezane usluge. Vrste osobnih podataka za obradu odabire Klijent.
Vrste osobnih podataka | Svrha obrade | Razdoblje zadržavanja podataka |
Ime i prezime Adresa e-pošte Naziv radnog mjesta Telefonski broj Informacije o poslodavcu Adresa poslodavca | Uključivanje organizacije krajnjeg korisnika u uslugu. Primjenjuje se na administratore | 30 xxxx od prestanka Usluge |
Ime i prezime Adresa e-pošte Titula Sufiks | Identifikacija krajnjeg korisnika. | 30 xxxx od prestanka Usluge |
Stanje primjene, događaji i statistike korištenja | Poboljšanje performansi usluge i pružanje tehničke podrške. | 3 godine u deidentificiranom obliku |
Lokacija Platforme: udomila tvrtka Amazon Web Services ("Pružatelj usluga udomljavanja internetskih sadržaja") – Platforma se trenutno nalazi u Sjedinjenim Američkim Državama
Dostava podataka xx xxxxxx klijenta: putem API-ja /aplikacijskog korisničkog sučelja/ ili korisničkog sučelja preko HTTPS-a /sigurnog protokola za prijenos hiperteksta/
Podobrađivači:
Tvrtka | Država | Svrha |
Google LLC /d.o.o./ | SAD | API Gateway, Google Analytics |
Amazon web usluge | SAD, Irska | Infrastruktura, sigurnost i usluge integracije |
HSL Mobile | Ujedinjeno Kraljevstvo | Isporučivanje pravovremene lozinke putem SMS-a za dvostruku autentifikaciju na mobilne telefone. |
Rapid 7 LLC | SAD | Centralna pohrana i analiza log datoteka aplikacija |
Mixpanel | SAD | Podaci o analitici korištenja iz SDK HID Origa |
Lokacija(e) usluga podrške: SAD, Indija, Meksiko, Brazil, Ujedinjeno Kraljevstvo, Hong Kong, Kina, Japan, Australija