Ugovor o obradi osobnih podataka
Ovaj ugovor o obradi osobnih podataka (u nastavku: DPA) uređuje obradu osobnih podataka koju JLabs, digitalne rešitve, Nika Vrečič s.p. provodi u ime korisnika usluge Gostly u skladu s člankom 28. Opće uredbe o zaštiti podataka (Uredba (EU) 2016/679, u nastavku: GDPR) i primjenjivim zakonodavstvom o zaštiti osobnih podataka.
DPA je sastavni dio Uvjeta korištenja i primjenjuje se uvijek kada korisnik putem usluge Gostly obrađuje osobne podatke za koje nastupa kao voditelj obrade. Registracijom odnosno korištenjem usluge korisnik prihvaća ovaj DPA. U slučaju neslaganja između ovog DPA-a i Uvjeta korištenja u pogledu obrade osobnih podataka, prevladava ovaj DPA.
1. Uloge stranaka i predmet
U pogledu osobnih podataka gostiju i drugih pojedinaca koje korisnik unosi ili obrađuje putem usluge Gostly, korisnik nastupa kao voditelj obrade, a JLabs, digitalne rešitve, Nika Vrečič s.p. kao izvršitelj obrade.
Predmet, priroda, svrha i trajanje obrade, vrste osobnih podataka i kategorije pojedinaca opisani su u Prilogu A. Izvršitelj obrade osobne podatke obrađuje isključivo radi pružanja usluge Gostly i samo u opsegu potrebnom za tu svrhu.
2. Obrada prema uputama voditelja obrade
Izvršitelj obrade osobne podatke obrađuje samo prema dokumentiranim uputama voditelja obrade, što uključuje ovaj DPA, Uvjete korištenja i postavke koje voditelj obrade određuje u korisničkom računu. Izvršitelj obrade podatke ne obrađuje za vlastite svrhe.
Ako izvršitelja obrade na obradu obvezuje pravo EU-a ili pravo države članice, o tom pravnom zahtjevu prije obrade obavještava voditelja obrade, osim ako to pravo iz važnih razloga javnog interesa zabranjuje takvu obavijest. Ako izvršitelj obrade smatra da neka uputa krši propise o zaštiti podataka, o tome bez odgode obavještava voditelja obrade.
3. Povjerljivost
Izvršitelj obrade osigurava da su osobe ovlaštene za obradu osobnih podataka obvezane na povjerljivost ili da ih na povjerljivost obvezuje odgovarajuća zakonska obveza te da osobnim podacima pristupaju samo osobe kojima su potrebni za pružanje usluge.
4. Sigurnost obrade
Uzimajući u obzir stanje tehnike, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, izvršitelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu sigurnosti primjerenu riziku, u skladu s člankom 32. GDPR-a. Pregled tih mjera naveden je u Prilogu C.
5. Izvršitelji obrade (podizvršitelji)
Voditelj obrade daje izvršitelju obrade opće pisano odobrenje za angažiranje podizvršitelja obrade. Popis podizvršitelja koje izvršitelj obrade koristi u trenutku sklapanja ovog DPA-a naveden je u Prilogu B.
Izvršitelj obrade s pojedinim podizvršiteljem sklapa ugovor koji mu nameće obveze zaštite podataka najmanje jednake onima iz ovog DPA-a. Izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za ispunjavanje obveza podizvršitelja.
O namjeravanoj zamjeni ili uključivanju novog podizvršitelja izvršitelj obrade unaprijed obavještava voditelja obrade (primjerice e-poštom ili putem obavijesti u usluzi) i omogućuje mu razuman rok za prigovor. Ako voditelj obrade opravdano prigovori, stranke nastoje pronaći razumno rješenje; ako to nije moguće, voditelj obrade može otkazati odgovarajući dio usluge.
6. Prijenosi izvan EGP-a
Izvršitelj obrade osobne podatke ne prenosi izvan Europskog gospodarskog prostora bez valjane pravne osnove. Kada do takvog prijenosa dođe (primjerice putem podizvršitelja), izvršitelj obrade osigurava odgovarajuće zaštitne mjere iz poglavlja V. GDPR-a, primjerice odluku o primjerenosti, standardne ugovorne klauzule ili drugi zakoniti mehanizam.
7. Pomoć voditelju obrade
Uzimajući u obzir prirodu obrade i informacije koje su mu dostupne, izvršitelj obrade pomaže voditelju obrade odgovarajućim tehničkim i organizacijskim mjerama pri:
- ispunjavanju zahtjeva pojedinaca za ostvarivanje njihovih prava iz GDPR-a (pristup, ispravak, brisanje, ograničenje, prenosivost, prigovor),
- ispunjavanju obveza u pogledu sigurnosti obrade, obavješćivanja o povredama te procjena učinka na zaštitu podataka i prethodnih savjetovanja (članci 32.–36. GDPR-a).
Ako zahtjev pojedinca izravno zaprimi izvršitelj obrade, bez nepotrebne odgode prosljeđuje ga voditelju obrade i na njega sam ne odgovara, osim prema uputi voditelja obrade.
8. Povrede osobnih podataka
Izvršitelj obrade bez nepotrebne odgode, a najkasnije u roku od 48 sati nakon što sazna za povredu osobnih podataka, o njoj obavještava voditelja obrade i dostavlja mu informacije razumno potrebne za ispunjavanje njegovih obveza obavješćivanja iz članaka 33. i 34. GDPR-a.
9. Brisanje i vraćanje podataka
Nakon prestanka pružanja usluge izvršitelj obrade, prema izboru voditelja obrade, briše ili vraća sve osobne podatke i briše postojeće kopije, osim ako pravo EU-a ili pravo države članice zahtijeva čuvanje. Izvršitelj obrade može odrediti razuman rok za provedbu brisanja i za rutinsko brisanje sigurnosnih kopija u skladu sa svojim ciklusima čuvanja.
10. Dokazivanje usklađenosti i revizije
Izvršitelj obrade voditelju obrade stavlja na raspolaganje sve informacije potrebne za dokazivanje ispunjavanja obveza iz članka 28. GDPR-a te omogućuje revizije i doprinosi njima, uključujući preglede koje provodi voditelj obrade ili revizor kojeg on ovlasti. Revizije se provode u razumnom opsegu, uz prethodnu obavijest, tijekom redovnog radnog vremena i na način koji ne ometa poslovanje izvršitelja obrade; izvršitelj obrade zahtjeve može ispuniti i predočenjem odgovarajućih potvrda ili izvješća o usklađenosti.
11. Odgovornost
Odgovornost stranaka po ovom DPA-u procjenjuje se prema odredbama GDPR-a i prema ograničenjima odgovornosti dogovorenima u Uvjetima korištenja, u mjeri u kojoj to ne zabranjuje prisilni propis.
12. Trajanje i izmjene
Ovaj DPA vrijedi dok izvršitelj obrade za voditelja obrade obrađuje osobne podatke odnosno dok traje ugovorni odnos između stranaka. Izvršitelj obrade može DPA ažurirati zbog promjena usluge, podizvršitelja ili zakonodavstva; o značajnim izmjenama obavještava unaprijed na primjeren način.
Prilog A — Opis obrade
| Predmet obrade | obrada osobnih podataka radi pružanja usluge Gostly (komunikacija s gostima, informacije i pomoć tijekom boravka, obavijesti gostima, prijava problema, strojni prijevod poruka). |
|---|---|
| Priroda i svrha | pohrana, prikaz, posredovanje i tehnička obrada sadržaja koje voditelj obrade unosi ili stvara u usluzi te omogućavanje komunikacije između domaćina i gosta. |
| Trajanje | za vrijeme trajanja ugovornog odnosa i u skladu s postavkama čuvanja te uputama voditelja obrade. |
| Kategorije pojedinaca | gosti pružatelja smještaja te korisnici koji pristupaju računu voditelja obrade. |
| Vrste osobnih podataka | ime i prezime, kontaktni podaci, sadržaj komunikacije, informacije o boravku, prijave problema i priložene fotografije (s uklonjenim metapodacima) te drugi podaci koje voditelj obrade unosi u uslugu. |
| Posebne kategorije podataka | usluga nije namijenjena obradi posebnih kategorija osobnih podataka; voditelj obrade obvezuje se da ih neće unositi u uslugu, osim ako je to izričito dogovoreno i zakonito. |
Prilog B — Podizvršitelji obrade
| Hetzner | hosting infrastrukture i baze podataka; lokacija obrade: EU. |
|---|---|
| DeepL | strojni prijevod sadržaja poruka između gosta i domaćina; lokacija obrade: EU. |
| Neoserv | slanje sistemskih i obavijesnih e-poruka; lokacija obrade: EU. |
Ažuriran popis podizvršitelja dostupan je korisniku na zahtjev odnosno putem korisničkog računa.
Prilog C — Tehničke i organizacijske mjere
- šifriranje prijenosa podataka (TLS) između klijenata, usluge i podizvršitelja,
- pohrana lozinki u hashiranom obliku,
- logičko odvajanje podataka među najmoprimcima (multi-tenant izolacija) i kontrola pristupa po načelu najmanjih ovlasti,
- autentifikacija putem namjenskog sustava za upravljanje identitetima i pristupom,
- automatsko uklanjanje metapodataka (npr. lokacije) iz učitanih fotografija,
- redovito sigurnosno kopiranje i mogućnost obnove podataka,
- vođenje sigurnosnih i dijagnostičkih zapisa (revizijski tragovi),
- nadzor i ažuriranje sigurnosti sustava i aplikacije.
Kontakt
Za pitanja u vezi s ovim ugovorom o obradi osobnih podataka pišite nam na hello@gostly.si.