Okvirni ugovor

o obradi osobnih podataka u ime Voditelja obrade

između

DTAG XXX XXX

– u daljnjem tekstu: voditelj obrade –

XXX XXX XXX

–u daljnjem tekstu: izvršitelj obrade –

- u daljnjem tekstu pojedinačno i zajedno: ugovorna strana/ugovorne strane -

§ 1 Predmet ugovora; pravna osnova

(1) Voditelj obrade namjerava Izvršitelju obrade povjeriti pružanje usluga unutar Okvirnog sporazuma između

<<…ugovorne strane>> na temelju Pojedinačnih sporazuma. Ako izvršitelj obrade u tom kontekstu obrađuje osobne podatke (u daljnjem tekstu: podaci) ili ako se pristup osobnim podacima ne može isključiti (osobito kada se obavljaju usluge u području održavanja/daljinskog održavanja/analize IT kvarova), te se aktivnosti uređuju:

a) uvjetima iz ovog Okvirnog ugovora o obradi osobnih podataka i

b) Uvjetima iz svakog dodatnog Pojedinačnog ugovora o obradi osobnih podataka koji se zaključuje uz svaki Pojedinačni sporazum.

U slučaju bilo kakvih nedosljednosti između odredaba ovog Okvirnog ugovora o obradi osobnih podataka i odredaba Pojedinačnog ugovora o obradi osobnih podataka, odredbe ovog Okvirnog ugovora o obradi osobnih podataka imaju prednost. Bilo koje suprotne odredbe primjenjuju se samo ako su Ugovorne strane u Pojedinačnom ugovoru o obradi osobnih podataka izričito sporazumno utvrdile odstupanje od ovog Okvirnog ugovora o obradi osobnih podataka na način da su konkretno naznačile i uputile na određenu odredbu iz ovog Okvirnog ugovora o obradi osobnih podataka koju namjeravaju izmijeniti i samo u mjeri u kojoj se sporazumom ne mijenja niti jedna odredba u glavi § 2 navedenih Standardnih ugovornih klauzula.

(2) Ovaj se Okvirni ugovor primjenjuje na sve buduće narudžbe kao i na narudžbe koje su već izdane po Okvirnom

ugovoru.

§ 2 Sporazum o Standardnim ugovornim klauzulama (u daljnjem tekstu: Klauzule ili SCC (engl. Standard Contractual Clauses)

između voditelja obrade i izvršitelja sukladno odredbi članka 28 stavka 7 Uredbe (EU) 2016/679 Europskog Parlamenta i Vijeća te članka 29 stavka 7 Uredbe (EU) 2018/1725 Europskog Parlamenta i Vijeća

s Aneksima i dodacima

OPSEG:

Svrha Standardnih ugovornih klauzula (Klauzule ili SCC) je osigurati usklađenost s člankom 28 stavcima 3 i 4 Uredbe (EU) 2016/679. Stranke su suglasne s niže priloženim Xxxxxxxxxx zajedno s objašnjenjima i dodacima navedenim u idućim Aneksima I – V.

SCC Art 28

HR_TXT.pdf

Voditelj(i) obrade:

ANEKS I

Ugovorne strane

1. Naziv: ………………………………………..……………………………………………………………….................................................................

Adresa: ……………………………………………..……………………………………………………………….............................................................

Ime kontakt osobe, radno mjesto i kontakt podaci Službenika za zaštitu osobnih podataka ako je isti imenovan:

…………………………………………..……………………………………………………………….............................................................................

Potpis i datum pristupanja:

……………………………………………..……………………………………………………………….............................................................................

Potpis i datum pristupanja:

……………………………………………..………………………………………………………………..............................................................................

Izvršitelj(i) obrade:

1. Naziv: ……………………………………………..………………………………………………………………..............................................................

Adresa: ……………………………………………..………………………………………………………………................................................................

Ime kontakt osobe, radno mjesto i kontakt podaci Službenika za zaštitu osobnih podataka ako je isti imenovan:

…………………………………………..……………………………………………………………….............................................................................

Potpis i datum pristupanja:

……………………………………………..……………………………………………………………….................................................................................

Potpis i datum pristupanja:

……………………………………………..………………………………………………………………................................................................................

ANEKS II

Opis obrade podataka

Detalji o obradi osobnih podataka dogovaraju se u relevantnim Pojedinačnim ugovorima.

ANEKS III

Tehničke i organizacijske mjere uključujući tehničke i organizacijske mjere za osiguranje sigurnosti

podataka

Dogovaraju se sljedeće mjere:

TOM CDPA Europe Framework CDPA Tel

S voditeljem obrade moraju se uskladiti odluke koje se odnose na sigurnost u vezi s organizacijom obrade podataka i

korištenim postupcima.

Ako su potrebne dodatne mjere u vezi ovog Okvirnog ugovora, iste se dogovaraju u relevantnom Pojedinačnom ugovoru.

ANEKS IV

Popis podizvršitelja

Popis podizvršitelja bit će dogovoren u relevantnom Pojedinačnom ugovoru.

ANEKS V

Dodatni sporazumi

1. Tajnost telekomunikacija

Ako je izvršitelju obrade, u okviru vlastitih aktivnosti, moguće pristupiti elektroničkim komunikacijskim podacima, jamči se da se obveza povjerljivosti koja obuhvaća osobe kojima je povjerena obrada podataka proteže i na sadržaj i točne okolnosti elektroničke komunikacije ispitanika, posebice uključenost ispitanika u postupak elektroničkih komunikacija i točne okolnosti neuspjelih pokušaja komunikacije.

2. Pravo na izravnu reviziju voditelja obrade

U slučaju da voditelj obrade obrađuje osobne podatke obuhvaćene ovim ugovorom u ime nadređenog kupca, odnosno, tj. u slučaju da se obrađuju osobni podaci klijenta voditelja obrade, izvršitelj obrade će, na zahtjev nadređenog kupca, dodijeliti pravo na pristup informacijama te pravo na nadzor predmetnom nadređenom kupcu. U ovome slučaju izvršitelj obrade će kontinuirano pružati voditelju obrade pisanim putem ili putem e- maila podatke o informacijama i izvršenim provjerama.

3. Osiguranje kvalitete

S obzirom na sustave obrade voditelja obrade kojima voditelj obrade ima pristup, voditelj obrade zadržava pravo provoditi revizije osiguranja kvalitete i poduzimanja mjera za utvrđivanje zlouporabe takvih sustava (npr. logovi). Navedeno može uključivati pristup osobnim podacima (kao što su, ali ne ograničavajući se na, pojedinačni korisnički ID-jevi i imena, podaci za kontakt, itd.) onih zaposlenika koji imaju pristup sustavima.

4. Održavanje, daljinsko održavanje i/ili analiza IT grešaka

a. Zaposlenici izvršitelja obrade koristit će prikladne procese identifikacije i enkripcije. Prije početka obrade, voditelj i izvršitelj obrade dogovorit će se o svim nužnim mjerama sigurnosne kopije podataka.

b. Sve usluge bit će dokumentirane i zabilježene od strane izvršitelja obrade.

c. Podaci se mogu koristiti samo na izričit zahtjev voditelja obrade i u svrhu analize grešaka. Mogu se koristiti samo na opremi koju je osigurao voditelj obrade ili na opremi izvršitelja obrade ako je istu prethodno odobrio voditelj obrade u predmetnu svrhu. Podaci se ne smiju kopirati na prijenosne uređaje za pohranu (PDA, USB memorijska kartica ili slični uređaji) bez izričitog pristanka voditelja obrade.

d. Ispitivanje i održavanje sustava radnih stanica kod voditelja obrade bit će izvršeno tek nakon dobivanja

odobrenja ovlaštene osobe/zaposlenika voditelja obrade.

e. Izvršitelj obrade koristit će pristup pravima koja su mu dodijeljena, toliko dugo koliko je potrebno za pravilno obavljanje naručenog rada održavanja i testiranja.

f. U slučaju udaljenog pristupa, voditelj obrade ima pravo nadzirati takav pristup, u mjeri u kojoj je to moguće. Ugovorne strane će se dogovoriti o uspostavi opcije „Prekid daljinskog pristupa od strane voditelja obrade“ i o daljnjim modalitetima u mjeri u kojoj je takva opcija nužna.

5. Podizvršitelji

Izvršitelj obrade mora nametnuti podizvršitelju obrade obveze određene Aneksom V.

6. Enkripcija

Uvoznik podataka mora kriptirati podatke (uključujući i sve osobne podatke) u prijenosu preko javne mreže između davatelja i preuzimatelja podataka, kao i između podatkovnih centara preuzimatelja podataka. Preuzimatelj podataka također kriptira podatke pohranjene u stanju mirovanja u svojim sustavima, uključujući i kada se isti nalaze u oblaku.

7. Neovlašten pristup IT sustavu („backdoor“)

Preuzimatelj podataka jamči da (1) nije namjerno kreirao „backdoor“ ili sličan program koji bi se mogao koristiti za pristup sustavu i/ili podacima (2) nije namjerno kreirao ili promijenio poslovne procese na način koji olakšava pristup podacima ili sustavima te (3) nacionalni zakoni niti državna politika ne zahtijevaju od preuzimatelja podataka i/ili njegovih podizvršitelja da kreiraju ili održavaju „backdoor“, niti da olakšavaju pristup podacima ili sustavima, niti ne zahtijevaju da preuzimatelj podataka i/ili njegovi podizvršitelji budu u posjedu ili da predaju ključ za enkripciju.

8. Međunarodni prijenos podataka

Sukladno klauzuli 7.8 b SCC-a, voditelj obrade je upoznat s time da je preduvjet za primjenjivost standardnih ugovornih klauzula koje je Komisija usvojila u skladu s odredbom članka 46 stavkom 2 Uredbe (EU) 2016/679 pozitivan rezultat procjene rizika koju treba provesti voditelj obrade partnera koji obrađuje podatke u trećoj zemlji ili ima pristup podacima iz treće zemlje. Rezultat i glavna temeljna razmatranja procjene rizika moraju se dokumentirati i dokazati/dostaviti voditelju obrade na njegov zahtjev.

9. Suradnja s nadzornim tijelima

Sukladno klauzuli 7.6 e, izvršitelj obrade mora, sukladno zakonskim obvezama, odmah obavijestiti voditelja obrade o svim obavijestima nadzornih tijela (npr. zahtjevi, obavijesti o mjerama) upućenim izvršitelju ili podizvršitelju u vezi s obradom podataka koja je predmet ovog ugovora.

10. Sporazum o neobaveznim odredbama:

a) Primjenjivat će se klauzula 5 (klauzula o pristupanju).

b) Klauzula 8 c broj 4 odnosi se na obveze iz odredbe članka 32 Uredbe (EU) 2016/679.

c) Od opcija ponuđenih u klauzuli 9, u svakom slučaju primjenjuje se "opcija 1", odnosno, pozivanje na

Uredbu (EU) 2016/679.

11. Zasebne smjernice voditelja obrade

……………………………………………………………………………………………………………………………………………………………………………….

Document Metadata

Table of Contents

Okvirni ugovor

Document Metadata