Data Processing Agreement
Stupaju na snagu 29. rujna 2023 | Pogledajte prethodnu verziju Ugovora o obradi podataka | Usporedba promjena
Prema zahtjevima Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: „GDPR”), dobavljač (u daljnjem tekstu: „izvršitelj obrade”) i vi (u daljnjem tekstu „voditelj obrade”) stupate u ugovorni odnos za obradu podataka kako biste definirali uvjete i odredbe za obradu osobnih podataka i način njihove zaštite te definirali druga prava i obveze obje strane u obradi osobnih podataka ispitanika u ime voditelja obrade tijekom obavljanja predmeta ovih uvjeta kao glavnog ugovora.
1. Obrada osobnih podataka. Usluge pružene u skladu s ovim uvjetima uključuju obradu podataka koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a koji su navedeni u Pravilima privatnosti (u daljnjem tekstu: "osobni podaci").
2. Autorizacija. Voditelj obrade ovlašćuje izvršitelja obrade za obradu osobnih podataka, uključujući sljedeće upute:
(i) „svrha obrade” znači pružanje usluga u skladu s ovim uvjetima. Izvršitelj obrade smije obrađivati osobne podatke samo u ime voditelja obrade kad je riječ o pružanju usluga koje je zatražio voditelj obrade. Svi podaci prikupljeni u dodatne svrhe obrađuju se izvan ugovornog odnosa voditelja obrade i izvršitelja obrade.
(ii) razdoblje obrade znači razdoblje od uspostavljanja suradnje prema ovim uvjetima do prekida usluga,
(iii) Opseg i kategorije osobnih podataka. Usluge su namijenjene samo za obradu općih osobnih podataka. Međutim, voditelj obrade je odgovoran isključivo za utvrđivanje opsega osobnih podataka.
(iv) „ispitanik” znači fizička osoba kao ovlašteni korisnik uređaja voditelja obrade,
(v) postupci obrade znači sve operacije potrebne za obradu,
(vi) „Zabilježene upute” znači upute opisane u ovim uvjetima, njihovim prilozima, pravilima privatnosti i dokumentaciji koji se odnose na uslugu. Voditelj obrade odgovoran je za pravnu prihvatljivost obrade osobnih podataka koju provodi izvršitelj obrade u odnosu na odgovarajuće primjenjive odredbe zakona o zaštiti podataka.
3. Obveze izvršitelja obrade. Izvršitelj obrade dužan je:
(i) obrađivati osobne podatke samo na temelju zabilježenih uputa i u svrhu definiranu u Uvjetima, prilozima Uvjetima, Pravilima privatnosti i dokumentaciji koji se odnose na uslugu,
(ii) uputiti osobe ovlaštene za obradu osobnih podataka (u daljnjem tekstu „ovlaštene osobe") o njihovim pravima i dužnostima u skladu s GDPR-om, kao i o njihovoj odgovornosti u slučaju povrede, te osigurati da su se ovlaštene osobe obvezale na povjerljivost i slijede zabilježene upute,
(iii) provoditi mjere opisane u Uvjetima, prilozima Uvjetima, Pravilima privatnosti i dokumentaciji o uslugama i pridržavati ih se,
(iv) pomagati voditelju obrade u odgovaranju na zahtjeve ispitanika u vezi s njihovim pravima. Izvršitelj obrade ne smije ispravljati, uklanjati niti ograničavati obradu osobnih podataka bez naloga voditelja obrade. Svi zahtjevi ispitanika koji se odnose na osobne podatke obrađene u ime voditelja obrade prosljeđuju se voditelju obrade bez odlaganja.
(v) pomagati voditelju obrade u obavještavanju nadzornog tijela i ispitanika o kršenju osobnih podataka, Izvršitelj obrade obavještava voditelja obrade o povredi obrade ili sigurnosti osobnih podataka odmah po otkrivanju. Izvršitelj obrade u razumnoj mjeri surađuje u istrazi i ispravljanju takve povrede te poduzima razumne mjere za ograničavanje daljnjih negativnih posljedica.
(vi) u skladu s odabirom voditelja obrade, obrisati ili vratiti sve osobne podatke voditelju obrade nakon isteka razdoblja obrade. Voditelj obrade obvezuje se obavijestiti izvršitelja obrade o svojoj odluci u roku od deset (10) dana po isteku razdoblja obrade. Ova odredba ne utječe na pravo izvršitelja obrade da osobne podatke čuva u potrebnoj mjeri u svrhu arhiviranja u javnom interesu, u svrhe znanstvenog istraživanja, u statističke svrhe ili u svrhu postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
(vii) voditi ažurirani registar svih kategorija aktivnosti obrade koje je izvršio u ime voditelja obrade,
(viii) učiniti dostupnima voditelju obrade sve informacije koje su potrebne za dokazivanje usklađenosti kao dio Uvjeta, priloga Uvjetima, Pravila privatnosti i dokumentacije koji se odnose na uslugu. U slučaju provjere ili kontrole obrade osobnih podataka koju provodi voditelj obrade, voditelj obrade je dužan o tome pisanim putem obavijestiti izvršitelja obrade najmanje trideset (30) dana prije planirane provjere ili kontrole.
4. Angažiranje drugog izvršitelja obrade. Izvršitelj obrade ima pravo angažirati drugog izvršitelja obrade za obavljanje određenih postupaka obrade, kao što je osiguravanje pohrane u cloudu i infrastrukture za uslugu u skladu s Uvjetima, prilozima Uvjetima, Pravilima privatnosti i dokumentaciji koji se odnose na uslugu. Trenutačno Microsoft osigurava pohranu u cloudu i infrastrukturu kao dio Azure Servisa na cloudu. Izvršitelj obrade i u ovom slučaju ostaje jedina kontaktna točka i strana odgovorna za sukladnost. Izvršitelj obrade ovime se obvezuje obavijestiti voditelja obrade o svakom dodavanju ili zamjeni drugog izvršitelja obrade u svrhu mogućnosti prigovora na takvu promjenu.
5. Područje obrade. Izvršitelj obrade osigurava da se obrada odvija u Europskom gospodarskom prostoru ili u zemlji koja je odlukom Europske komisije proglašena sigurnom na temelju odluke voditelja obrade. Standardne ugovorne odredbe primjenjuju se u slučaju prijenosa i obrade koji se nalaze izvan Europskog gospodarskog prostora ili države koja je odlukom Europske komisije proglašena sigurnom na zahtjev voditelja obrade.
6. Sigurnost. Izvršitelj obrade certificiran je prema normi ISO 27001:2013 i upotrebljava okvir norme ISO 27001 za provedbu slojevite strategije obrambene sigurnosti prilikom primjene sigurnosnih kontrola na sloju mreže, operacijskih sustava, baza podataka, aplikacija, osoblja i operativnih procesa. Sukladnost s regulatornim i ugovornim zahtjevima redovito se procjenjuje i preispituje slično drugim infrastrukturama i operacijama izvršitelja obrade i poduzimaju se potrebni koraci kako bi se kontinuirano osiguravala sukladnost. Izvršitelj obrade je organizirao sigurnost podataka upotrebom ISMS-a na temelju ISO 27001 sustava. Sigurnosna dokumentacija uglavnom uključuje dokumente politika za sigurnost informacija, fizičku sigurnost i sigurnost opreme, upravljanje incidentima, rukovanje curenjima podataka i sigurnosnim incidentima itd.
7. Tehničke i organizacijske mjere. Izvršitelj obrade štiti osobne podatke od slučajnih i nezakonitih oštećenja i uništenja, slučajnog gubitka, promjena, neovlaštenog pristupa i otkrivanja. U tu svrhu izvršitelj obrade donosi odgovarajuće tehničke i organizacijske mjere koje odgovaraju načinu obrade i riziku koji obrada predstavlja za prava ispitanika u skladu sa zahtjevima GDPR-a. Detaljan opis tehničkih i organizacijskih mjera navodi se u Sigurnosnim pravilima.
8. Kontaktni podaci izvršitelja obrade. Sve obavijesti, zahtjevi, nalozi i druga komunikacija u vezi sa zaštitom osobnih podataka upućuju se društvu ESET, spol. s.r.o., na ruke: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.