Sporazum o obradi podataka
AXIANS CROATIA d.o.o.
Ovaj sporazum o obradi podataka određuje obveze u vezi sa zaštitom podataka koje proizlaze iz ugovornog odnosa između AXIANS CROATIA d.o.o. (u daljnjem tekstu "Dobavljač" ili "Obrađivač podataka") i njegovih kupaca (u daljnjem tekstu "Naručitelj" ili "Voditelj obrade podataka"). Za sva pitanja o zaštiti podataka Klijent se može obratiti službeniku pružatelja usluga za zaštitu podataka putem info@axians.hr.
1. Predmet
1.1. Između stranaka postoji pravni odnos za čije se izvršenje osobni podaci prenose s Voditelja obrade podataka na Izvršitelja obrade ("glavni ugovor"). Pravni odnos između stranaka temelji se na Općim uvjetima pružanja usluga ("Opći uvjeti poslovanja") Dobavljača. Ovaj ugovor o obradi podataka sklapaju stranke kako bi se osigurala odgovarajuća zaštita za prijenos osobnih podataka.
1.2. Osim ako ovim Ugovorom nije drugačije određeno, svi uvjeti imaju isto značenje kao u Hrvatski Zakon o provedbi Opće uredbe o zaštiti podataka. Nadalje, ovim se Sporazumom podupiru stranke u usklađivanju s Općom uredbom o zaštiti podataka EU-a ("GDPR") u pogledu zaštićenih osobnih podataka kupaca s područja EU-a.
2. Opis obrade podataka
2.1. Dobavljač obrađuje osobne podatke u ime Klijenta. Predmet i trajanje ugovornog odnosa te priroda i svrha obrade u načelu proizlaze iz Općih uvjeta i Prilog A Ugovoru o obradi naloga. Obrada podataka navedena je i u trenutnom opisu usluge na web-stranicama pružatelja usluga.
2.2. Ispunjavanjem obrasca za registraciju i naručivanjem korisničkog računa ("Račun Visitor-a") na web stranici Pružatelja usluga, Klijent daje Pružatelju odgovarajuće upute za obradu podataka. Klijent može dodati, izmijeniti ili povući svoje upute obavještavajući Pružatelja usluga. Upute koje nisu predviđene Općim uvjetima poslovanja tretiraju se kao zahtjev za promjenu usluge. Usmene upute moraju se dobiti odmah u pisanom obliku.
3. Obveze Klijenta
3.1. U okviru ugovornog odnosa, Klijent je isključivo odgovoran za poštivanje zakonskih odredbi zakona koji uređuje zaštitu podataka, posebno za zakonitost prijenosa podataka Pružatelju i za zakonitost obrade podataka.
3.2. Klijent je zadovoljan time što su tehničke i organizacijske mjere koje provodi Obrađivač naloga i koje su opisane u Prilog B dovoljne da osiguraju odgovarajuću zaštitu prenesenih osobnih podataka.
3.3. Klijent mora odmah i u cijelosti u pisanom obliku obavijestiti Pružatelja usluga ako otkrije pogreške ili nepravilnosti u u vezi s propisima o zaštiti podataka.
3.4. Klijent će obavijestiti Pružatelja kontakt osobe o pitanjima zaštite podataka koja proizlaze iz okvira ugovornog odnosa, ako se to razlikuje od imenovane osobe za kontakt.
3.5. Klijent izjavljuje da snosi isključivu odgovornost za informiranje osoba na koje utječe obrada podataka o mogućoj pohrani, korištenju, obradi i prosljeđivanju podataka od strane Pružatelja u skladu s odredbama Općih uvjeta i ovog ugovora o obradi narudžbe. Ako se pojedini ispitanici ne slažu s namjeravanom obradom podataka, Klijent je odgovoran za brisanje odgovarajućih podataka na svom Visitor računu -.
3.6. Prihvaćanjem Općih uvjeta i ugovora o obradi narudžbe Klijent izričito izjavljuje njihov pristanak na prijenos njihovih podataka matičnom društvu Pružatelja usluga i povezana društva. Klijent oslobađa Pružatelja usluga od svih mogućih zahtjeva. Klijent je odgovoran za dobivanje suglasnosti ispitanika.
4. Obveze Pružatelja usluga
4.1. Opće informacije
4.1.1. Što se tiče obrade osobnih podataka, Izvršitelj naloga jamči da
- obrađivat će osobne podatke u skladu s ovim ugovorom o obradi podataka i isključivo u svrhe Voditelja obrade podataka
- ciljevi Voditelja obrade podataka proizlaze iz Priloga A, Visitor računa - ili izričitih uputa Voditelja obrade podataka ili su određene drugim ugovorom s Voditeljem obrade podataka
- pružit će Voditelju obrade podataka informacije potrebne za praćenje poštivanja obveza utvrđenih u ovom Sporazumu
- uzeti u obzir načela povjerljivosti podataka u svojim alatima, proizvodima, aplikacijama ili uslugama
- obavijestit će Voditelja obrade ako više ne može ili nije vjerojatno da će se moći pridržavati ovog Ugovora
- surađivat će s nadležnim nadzornim tijelima u mjeri u kojoj je to dopušteno sukladno važećem zakonodavstvu
4.1.2. Osobe Voditelja obrade podataka ovlaštene za izdavanje uputa bit će navedene Izvršitelju obrade naloga na početku obrade narudžbe u pisanom obliku. U slučaju promjene ili dugoročne nesposobnosti osobe za kontakt, Pružatelj usluga mora biti odmah obaviješten pisanim putem o nasljedniku ili zamjeni. Usmene upute obvezujuće su samo ako ih odgovorna osoba potvrdi izravno u pisanom obliku. E-pošta je dovoljna za poštivanje obveze korištenja pisanog oblika.
4.1.3. Dobavljač mora odmah obavijestiti Klijenta ako smatra da uputa krši zakonske propise. Pružatelj ima pravo obustaviti provedbu predmetne upute sve dok Voditelj obrade ne potvrdi njezinu zakonitost ili dok se ne izmijeni uputa.
4.2. Sigurnost podataka
4.2.1. Pružatelj upravlja unutarnjom organizacijom u svojem području odgovornosti tako da ispunjava posebne zahtjeve zaštite podataka. Poduzet će tehničke i organizacijske mjere za odgovarajuću zaštitu osobnih podataka Klijenta koje ispunjavaju odgovarajuće zakonske zahtjeve. Pritom je Obrađivač podataka uzeo u obzir najnovija dostignuća, troškove provedbe te vrstu, opseg i svrhe obrade, kao i vjerojatnost pojave i ozbiljnosti rizika za temeljna i osobna prava ispitanika. Mjere su opisane u Prilog B i povremeno se pregledavaju. Izmjene mjera dopuštene su pod uvjetom da prethodna razina sigurnosti nije snižena. Klijent je upoznat s ovim tehničkim i organizacijskim mjerama i odgovoran je za osiguravanje odgovarajuće razine zaštite za rizike podataka koji se obrađuju.
4.2.2. U obavljanju posla Dobavljač će koristiti samo zaposlenike koji su dužni čuvati povjerljivost i koji su prethodno bili upoznati s odredbama o zaštiti podataka koje su im relevantne.
4.2.3. U mjeri u kojoj je dogovoreno, Pružatelj će podržati Klijenta u okviru svojih mogućnosti u ispunjavanju zahtjeva i zahtjeva ispitanika prema zakonu koji uređuje zaštitu podataka i u ispunjavanju obveza prema zakonu koji uređuje zaštitu podataka. U skladu s Općim uvjetima poslovanja, Pružatelj ima pravo za to zatražiti naknadu za troškove.
4.2.4. Ako Pružatelj sazna za bilo kakvo kršenje zaštite osobnih podataka, poduzet će razumne mjere kako bi osigurao podatke i ublažio sve moguće štetne posljedice za ispitanike. Nadalje, Pružatelj usluga u potpunosti poštuje važeće zakonske odredbe u vezi s prijavljivanjem kršenja zaštite podataka.
5. Podizvođači (ostali obrađivači narudžbi)
5.1. Pružatelj može angažirati podizvođače za obavljanje ugovorne usluge.
Izvršitelj obrade može delegirati obradu trećoj strani samo uz prethodnu suglasnost Voditelja obrade podataka. Angažiranje podizvođača kao izvršitelja obrade naloga dopušteno je u mjeri u kojoj oni zauzvrat ispunjavaju zahtjeve ovog Ugovora o obradi naloga u mjeri u kojoj podugovor to zahtijeva. U mjeri u kojoj je to potrebno, Pružatelj sklapa sporazume s podizvođačima kako bi osigurao odgovarajuću zaštitu podataka i mjere informacijske sigurnosti. Podizvođači koji nemaju pristup osobnim podacima ili ne obrađuju osobne podatke kao Izvršitelji naloga isključeni su iz ovog odjeljka. Popis trenutnih podizvođača u smislu Izvršitelja obrade naloga (u daljnjem tekstu, radi jednostavnosti, koji se nazivaju samo "podizvođači") dostupan je ovdje.
5.2. Klijent se slaže da Dobavljač može koristiti podizvođače navedene na web stranici Pružatelja usluga. Prije savjetovanja s drugim podizvođačima, Dobavljač će obavijestiti Klijenta ažuriranjem njihove web stranice. Pregled na web stranici mora se ažurirati najmanje 14 dana prije svakog savjetovanja. Klijent će redovito pregledavati pregled. Klijent se može usprotiviti promjeni iz opravdanog razloga u roku od 14 dana od saznanja o tome. Ako u tom roku nema prigovora, odobrenje promjene smatra se danim. Ako postoji važan razlog prema zakonu koji uređuje zaštitu podataka i ako se između stranaka ne može pronaći obostrano prihvatljivo rješenje, tada se Pružatelju daje posebno pravo raskida.
5.3. U pravilu, pomoćne usluge za Pružatelja bez upućivanja na podatke Voditelja obrade podataka u skladu s Prilog A (npr. telekomunikacijske usluge, poštanske/prijevozne usluge, usluge održavanja i korisničke usluge ili raspolaganje nosačima podataka, kao i druge mjere za osiguravanje povjerljivosti, dostupnosti, cjelovitosti i otpornosti hardvera i softvera) ne smatraju se podizvođačkom obradom. Međutim, Pružatelj je dužan poduzeti odgovarajuće mjere kontrole kako bi osigurao zaštitu i sigurnost podataka Klijenta, također u slučaju pomoćnih usluga.
6. Prekogranično otkrivanje
6.1. Obrada podataka u skladu s Prilog A u načelu se odvija u Hrvatskoj ili u državi članici Europske unije ili u drugoj državi koja je stranka Sporazuma o Europskom gospodarskom prostoru. Svako preseljenje u drugu treću zemlju može se dogoditi samo ako su ispunjeni relevantni pravni zahtjevi.
6.2. Ako Obrađivač naloga koristi podizvođače u zemljama koje nemaju odgovarajuću razinu zaštite podataka prema Hrvatskom Zakonu o provedbi Opće uredbe o zaštiti podataka i povjereniku za informiranje, Aneksu VDSG-u ili Komisiji EU-a, tada će izvršitelj obrade osigurati da je otkrivanje dopušteno prema zakonu koji uređuje zaštitu podataka poduzimanjem odgovarajućih mjera razmjernih odgovarajućem prijenosu podataka.
7. Prava vlasnika podataka
7.1. Ako se vlasnik podataka obrati Dobavljaču sa zahtjevima za ispravak, brisanje ili informacije, Dobavljač će uputiti vlasnika Klijentu, pod uvjetom da je dodjela Klijentu moguća prema podacima vlasnika. Dobavljač će zahtjev vlasnika proslijediti Klijentu u razumnom roku. Pružatelj usluga može podržati Klijenta u slučaju zahtjeva za zaštitu podataka od strane vlasnika u okviru svojih mogućnosti. U tom slučaju Pružatelj ima pravo zahtijevati naknadu za troškove. Pružatelj nije odgovoran ako Klijent ne odgovori na zahtjev vlasnika, ne odgovori ispravno ili ne odgovori na vrijeme.
8. Mogućnosti provjere
8.1. Pružatelj će Klijentu na odgovarajući način dokazati usklađenost s obvezama utvrđenima u ovom Prilogu. To se provodi putem samorevizije i/ili ISO certifikata.
8.2. Ako su u pojedinačnim slučajevima potrebne inspekcije klijenta ili revizora koje je naručio Klijent (npr. Zbog podređenosti GDPR-u), one će se provoditi tijekom uobičajenog radnog vremena bez ometanja poslovanja nakon obavijesti i uzimajući u obzir razumno vrijeme isporuke. Pružatelj ih može prethodno obavijestiti s razumnim rokom isporuke i nakon potpisivanja ugovora o povjerljivosti u vezi s podacima drugih kupaca i uspostavljenim tehničkim i organizacijskim mjerama. Ako je revizor kojeg je naručio Klijent u konkurentnom odnosu s Pružateljem usluga, Pružatelj usluga to može odbiti i predložiti neutralnu osobu. Dobavljač može klijentu naplatiti sve troškove povezane s revizijom, posebno ako se ne mogu otkriti nepravilnosti.
8.3. Ako nadzorno tijelo za zaštitu podataka ili bilo koje drugo suvereno nadzorno tijelo Klijenta provede inspekciju, ovo se poglavlje primjenjuje u skladu s tim. Ugovor o povjerljivosti nije potreban ako ovo nadzorno tijelo podliježe profesionalnoj ili pravnoj tajnosti, u kojoj je povreda kažnjiva prema Kaznenom zakonu.
9. Obveze obavješćivanja
9.1. Ako su podaci Klijenta koje posjeduje Pružatelj ugroženi kao rezultat zapljene ili oduzimanja, stečajnog ili insolvencijskog postupka ili drugih događaja ili mjera koje poduzimaju treće strane, Pružatelj će o tome bez odgađanja obavijestiti Klijenta. Pružatelj će bez odgode obavijestiti sve odgovorne osobe u ovom kontekstu da suverenitet i vlasništvo nad podacima leži isključivo na Klijentu.
10. Trajanje i prekid
10.1. Dobavljač obrađuje i pohranjuje osobne podatke sve dok postoji ugovorni odnos između Dobavljača i Klijenta. Dobavljač će ispraviti ili izbrisati ugovorne podatke ako Klijent to naloži i to je obuhvaćeno okvirom uputa. To se ne odnosi na podatke koji su potrebni za daljnju obradu zbog zakonskih propisa ili u obvezne interne svrhe. Pružatelj ima pravo obustaviti provedbu svih uputa za zlouporabu dok se ne dokaže njihova zakonitost. Otkrivanje podataka i pripadajuća naknada regulirani su Općim uvjetima.
11. Odgovornost
11.1. Odgovornost se temelji na odgovarajućim odredbama Općih uvjeta.
12. Razno
12.1. U svim ostalim aspektima primjenjuju se odredbe Općih uvjeta. U slučaju bilo kakvih proturječja između Ugovora o obradi naloga i Općih uvjeta, prevladavaju odredbe Općih uvjeta. Ako je bilo koji dio ugovora o obradi naloga nevažeći, to neće utjecati na valjanost Općih uvjeta i preostalih odredbi ugovora o obradi naloga.
12.2. Prilog A i Prilog B bitne su komponente ovog ugovora o obradi naloga.
Zadnja verzija: studeni 2023.
AXIANS HRVATSKA d.o.o.
Borongajska cesta 81A
10000 Zagreb
Hrvatska
Prilog A Predmet, priroda i svrha
Prilog B Tehničke i organizacijske mjere
1. Prilog A – Predmet, priroda i svrha
Svrha ugovora: | Obrada osobnih podataka Klijenta u okviru njihovog korištenja usluga Pružatelja usluga kao softvera kao usluge. |
Priroda i svrha planirane obrade podataka: | Osobni podaci koje Klijent obrađuje bit će preneseni Pružatelju usluga u okviru softverskih usluga kao usluge. Pružatelj obrađuje ove podatke isključivo u skladu s Općim uvjetima i odgovarajućim opisom usluge na web stranici Pružatelja usluga. |
Vrsta osobnih podataka: |
Vrste podataka ovise o podacima koje klijent prenosi. To posebno uključuje (ovisno o redoslijedu): ● Glavni osobni podaci (ime, datum rođenja, adresa, poslodavac) uključujući podatke za kontakt (npr. telefon, e-pošta) ● Podaci o ugovoru, uključujući podatke o naplati i plaćanju ● Povijest podataka o ugovoru |
Kategorije ispitanika: |
Kategorije ispitanika ovise o podacima koje prenosi Klijent. To posebno uključuje (ovisno o redoslijedu): ● Zaposlenici Klijenta ● Kupci Klijenta ● Potencijalni kupci Klijenta ● Kontakt podaci osoba za kontakt |
Brisanje, blokiranje i ispravak podataka: | Upiti za brisanje, blokiranje i ispravak moraju se uputiti Klijentu; u svim ostalim aspektima primjenjuju se odredbe Općih uvjeta i ovog Ugovora o obradi naloga. |
2. Prilog B – Tehničke i organizacijske mjere
I. Kontrola pristupa:
Mjere kojima se neovlaštenim osobama uskraćuje pristup sustavima za obradu podataka s kojima se osobni podaci obrađuju ili upotrebljavaju:
- Alarmni sustav
- Automatizirana kontrola pristupa
- Fotoelektronski senzori / detektori pokreta
- Upravljanje ključevima (izdavanje ključeva itd.)
- Čip kartice / sustav zatvaranja transpondera
- Sustav ručnog zaključavanja (upotreba koja je ograničena na ključne osobe u slučaju pogrešaka u sustavima kontrole pristupa)
- Videonadzor u ulaznom prostoru
- Definiranje sigurnosnih područja
- Određivanje ovlaštenih osoba
- Provodi se zasebna i dokumentirana kontrola pristupa podatkovnim centrima i serverskim sobama samo za posebno ovlašteno osoblje. Pristup ovlaštenog osoblja bilježi se s imenom i brojem kartice ili tokena. Postoje zasebne kontrole pristupa za podatkovne centre.
II. Kontrola pristupa:
Mjere za sprječavanje korištenja sustava za obradu podataka od strane neovlaštenih osoba:
- Dodjela korisničkih prava
- Dodjela lozinke
- Provjera autentičnosti s korisničkim imenom / lozinkom / MFA
- Ručna suspenzija prava pristupa
- Zapisivanje pristupa
- Korištenje hardverskih vatrozida
- Korištenje korisničkog profila
- Dopunske mjere: vatrozidi web aplikacija, redovito skeniranje ranjivosti, , upravljanje zakrpama, minimalni zahtjevi za složenost lozinki i prisilne promjene lozinki, korištenje skenera virusa.
- Dodjela korisničkih profila IT sustavima
- Korištenje VPN tehnologije
- Šifriranje mobilnih medija za pohranu
- Hardversko šifriranje za prijenosna računala
III. Kontrola pristupa:
Mjere kojima se osigurava da osobe ovlaštene za korištenje sustava za obradu podataka mogu pristupiti ispitaniku samo radi odobrenja za pristup te da se osobni podaci ne mogu neovlašteno autorizirati, čitati, kopirati, mijenjati ili uklanjati tijekom obrade, uporabe i nakon pohrane:
- Izrada koncepta autorizacije (upravljanje pristupom identitetu)
- Smanjenje broja administratora na "apsolutni minimum"
- Dodjela minimalnih dozvola
- Provedba ograničenja pristupa
- Sigurno čišćenje medija prije ponovne uporabe
- Hardversko šifriranje (sigurnosne kopije vrpci, bilježnice)
- Upravljanje pravima od administratora sustava
- Pravila lozinke sa zahtjevima za duljinu lozinke, upravljanje promjenom lozinke
- Sigurna pohrana nosača podataka
IV. Kontrole otkrivanja
Mjere kojima se osigurava da se osobni podaci ne mogu čitati, kopirati, mijenjati ili uklanjati bez odobrenja tijekom elektroničkog prijenosa ili tijekom prijevoza ili pohrane na podatkovnim medijima te da se može provjeriti i odrediti kojim se stranama osobni podaci prenose uređajima za prijenos podataka:
- Stvaranje unajmljene linije ili VPN veze
- Šifriranje (sigurnosna kopija za pohranu izvan web-mjesta)
- TLS enkripcija za sve komunikacije (web klijent, API-ji, mobilne aplikacije)
- Zaštita prijenosa u pozadinskom sustavu
- Zaštita prijenosa na vanjske sustave
- Implementacija sigurnosnih pristupnika na točkama prijenosa mreže
- Osnaživanje pozadinskih sustava
- Opis svih sučelja i prenesenih polja osobnih podataka
- Provjera autentičnosti računala i računala
- Postupak brisanja/uništavanja u skladu sa zaštitom podataka
V. Kontrola unosa
Mjere kojima se osigurava da se naknadno može provjeriti mogu li se i tko unositi, mijenjati ili uklanjati osobni podaci u sustave za obradu podataka:
- Dodjela prava za unos, izmjenu i brisanje podataka na temelju koncepta autorizacije
- Automatska dokumentacija ulaznih dozvola
- Zapisivanje ulaza
VI. Kontrole dostupnosti
Mjere kojima se osigurava zaštita osobnih podataka od slučajnog uništenja ili gubitka:
- Neprekidno napajanje (UPS)
- Uređaji za praćenje temperature i vlažnosti u prostorijama poslužitelja
- Sustavi za otkrivanje požara i dima
- Upozorenje ako dođe do neovlaštenog pristupa serverskim sobama
- Stvaranje koncepata sigurnosnog kopiranja i oporavka
- Stvaranje sigurnosnih kopija podataka
- Testiranje oporavka podataka
- Sigurna pohrana sigurnosnih kopija podataka izvan web-stranice
- Klimatizacijski sustavi u serverskim prostorijama
- Sustavi za gašenje u serverskim prostorijama
- Plan za hitne slučajeve
- Pohrana sigurnosnih kopija
- Ispitivanje objekata za hitne slučajeve
VII. Zahtjev za odvajanje
Mjere kojima se osigurava da se osobni podaci prikupljeni u različite svrhe obrađuju zasebno:
- Izrada koncepta autorizacije
- Odobrena i dokumentirana prava na bazu podataka
- Logičko razdvajanje klijenta (na razini softvera)
- Odvajanje proizvodnih i ispitnih sustava
- Ekonomija u prikupljanju podataka