Izjava o obradi osobnih podataka u skladu s općom uredbom o zaštiti podataka (EU679/2016)
MadNET d.o.o., Kneza Mislava 20, Zagreb, OIB: 18636291784, kao Pružatelj usluge potvrđuje
1. Uvodne odredbe
1.1 Korisnik usluga je sa prihvaćanjem Uslova poslovanja i plaćanjem predračuna za usluge (u daljnjem tekstu: Ugovorne usluge), sa Pružateljem usluga ušao u ugovorni odnos, čijeg predmet su dogovorene Ugovorne usluge.
1.2 Ta Izjava je dio ugovornog odnosa i definira usklađenje međusobnih odnosa s Općom uredbom o zaštiti podataka EU679/2016 (dalje u tekstu: Uredba).
1.3 Korisnik usluga ima u skladu s Uredbom status voditelja obrade (dalje u tekstu: Voditelj obrade).
1.4 Pružatelj usluga ima u skladu s Uredbom status izvršitelja obrade (dalje u tekstu: Izvršitelj obrade).
1.5 Izrazi upotrijebljeni u ovom Ugovoru imaju isto značenje kao što je navedeno u Uredbi.
1.6 Izvršitelj obrade vodi evidenciju vrste/kategorije preuzetih podataka, koji su uključeni u obradu osobnih podataka i pružanje Ugovornih usluga.
1.7 Predanim osobnim podacima će se smatrati i osobni podaci s kojima će Izvršitelj obrade nenamjensko doći u kontakt prilikom izvršavanja Ugovornih usluga.
1.8 Izvršitelj obrade će primljene osobne podatke upotrijebiti isključivo za namjene izvođenja Ugovornih usluga. (Prilog 1: Ugovorne usluge, osobni podaci, namjene obrada i obrade osobnih podataka).
1.2 Ta Izjava je dio ugovornog odnosa i definira usklađenje međusobnih odnosa s Općom uredbom o zaštiti podataka EU679/2016 (dalje u tekstu: Uredba).
1.3 Korisnik usluga ima u skladu s Uredbom status voditelja obrade (dalje u tekstu: Voditelj obrade).
1.4 Pružatelj usluga ima u skladu s Uredbom status izvršitelja obrade (dalje u tekstu: Izvršitelj obrade).
1.5 Izrazi upotrijebljeni u ovom Ugovoru imaju isto značenje kao što je navedeno u Uredbi.
1.6 Izvršitelj obrade vodi evidenciju vrste/kategorije preuzetih podataka, koji su uključeni u obradu osobnih podataka i pružanje Ugovornih usluga.
1.7 Predanim osobnim podacima će se smatrati i osobni podaci s kojima će Izvršitelj obrade nenamjensko doći u kontakt prilikom izvršavanja Ugovornih usluga.
1.8 Izvršitelj obrade će primljene osobne podatke upotrijebiti isključivo za namjene izvođenja Ugovornih usluga. (Prilog 1: Ugovorne usluge, osobni podaci, namjene obrada i obrade osobnih podataka).
2. Informacijska sigurnost i usklađenost s Uredbom
2. Informacijska sigurnost i usklađenost s Uredbom
2.1. Izvršitelj obrade potvrđuje da kod izvođenja svojih poslovnih aktivnosti striktno izvodi tehničke i organizacijske mjere, s ciljem zaštite osobnih podataka i osiguranja prava ispitanika u smislu čl. 28 i 32 Uredbe.
2.2 Minimalne tehničke i organizacijske mjere, koje smanjuju vjerojatnost nenamjerne ili namjerne neovlaštene promjene, uništavanje, gubitak ili neovlaštenu obradu osobnih podatka, uključuju:
• fizičku, tehničku i logičnu zaštitu prostorija, strojne opreme i sistemske programske opreme, uključujući IKT ulazno-izlazne jedinice,
• tehničku i logičnu zaštitu programske opreme korisnika,
• tehničko i logičko sprječavanje neovlaštenih pristupa osobnim podacima prilikom njihovog prijenosa, uključujući prijenos putem telekomunikacijskih sredstava i mreža,
• efikasne načine blokiranja, uništavanja, brisanja ili anonimiziranja osobnih podataka, kada su ispunjene namjene obrade podataka,
• osiguravanje i vođenje revizijskih tragova koji su namijenjeni određivanju vremena unosa pojedinih podataka u evidenciju osobnih podataka, upotrijebe, prijenosa, pogleda, drugih obrada i identificiranju izvođača tih aktivnosti,
• odgovornost, informiranost i kvalificiranost zaposlenika te drugih suradnika Izvršitelja obrade u vezi sa zaštitom osobnih podataka, uvjeta i zahtjeva Uredbe i dobrim praksama informacijske sigurnosti,
• dokumentirana jamstva zaposlenih i drugih suradnika Izvršitelja obrade u vezi sa zahtjevima točaka 8.7, 8.8. i 8.9 ovog Ugovora,
• druge mjere, navedene u Uredbi (čl. 32).
2.3 Izvršitelj obrade jamči, da kod izvođenja Ugovornih usluga poštuje i ispunjava sve uvjete, zahtjeve i standarde koje u vezi zaštite osobnih podataka definiraju njihovi međusobni dogovori, Uredba i dobre prakse informacijske sigurnosti.
2.4 Izvršitelj obrade ispunjava sve zahtjeve Uredbe i dobre prakse informacijske sigurnosti u vezi s formiranjem i vođenjem revizijskih tragova.
2.2 Minimalne tehničke i organizacijske mjere, koje smanjuju vjerojatnost nenamjerne ili namjerne neovlaštene promjene, uništavanje, gubitak ili neovlaštenu obradu osobnih podatka, uključuju:
• fizičku, tehničku i logičnu zaštitu prostorija, strojne opreme i sistemske programske opreme, uključujući IKT ulazno-izlazne jedinice,
• tehničku i logičnu zaštitu programske opreme korisnika,
• tehničko i logičko sprječavanje neovlaštenih pristupa osobnim podacima prilikom njihovog prijenosa, uključujući prijenos putem telekomunikacijskih sredstava i mreža,
• efikasne načine blokiranja, uništavanja, brisanja ili anonimiziranja osobnih podataka, kada su ispunjene namjene obrade podataka,
• osiguravanje i vođenje revizijskih tragova koji su namijenjeni određivanju vremena unosa pojedinih podataka u evidenciju osobnih podataka, upotrijebe, prijenosa, pogleda, drugih obrada i identificiranju izvođača tih aktivnosti,
• odgovornost, informiranost i kvalificiranost zaposlenika te drugih suradnika Izvršitelja obrade u vezi sa zaštitom osobnih podataka, uvjeta i zahtjeva Uredbe i dobrim praksama informacijske sigurnosti,
• dokumentirana jamstva zaposlenih i drugih suradnika Izvršitelja obrade u vezi sa zahtjevima točaka 8.7, 8.8. i 8.9 ovog Ugovora,
• druge mjere, navedene u Uredbi (čl. 32).
2.3 Izvršitelj obrade jamči, da kod izvođenja Ugovornih usluga poštuje i ispunjava sve uvjete, zahtjeve i standarde koje u vezi zaštite osobnih podataka definiraju njihovi međusobni dogovori, Uredba i dobre prakse informacijske sigurnosti.
2.4 Izvršitelj obrade ispunjava sve zahtjeve Uredbe i dobre prakse informacijske sigurnosti u vezi s formiranjem i vođenjem revizijskih tragova.
3. Prikupljanje, obrada, prijenos i skladištenje osobnih podataka
3.1 Voditelj obrade potvrđuje da sve osobne te povezane podatke, koji su predmet obrade tj. izvođenja Ugovornih usluga, dobiva legalno i na način sukladno sa zahtjevima čl. 6 (1), 7 (1), 8 i 9 (2) Uredbe.
3.2 Voditelj obrade potvrđuje da sve ispitanike jasno, razumljivo i u pisanom obliku informira o uvjetima prikupljanja, obrade, prijenosa i skladištenja osobnih podataka, sukladno sa čl. 5 Uredbe.
3.2 Voditelj obrade potvrđuje da sve ispitanike jasno, razumljivo i u pisanom obliku informira o uvjetima prikupljanja, obrade, prijenosa i skladištenja osobnih podataka, sukladno sa čl. 5 Uredbe.
4. Prava ispitanika
4.1 Voditelj obrade svim ispitanicima omogućava izvršavanje svih prava vezanih za njihove osobne podatke, navedenih u čl. 12 do 22 i 46 (5) Uredbe.
4.2 Izvršitelj obrade je sukladno s odredbama čl. 37, 38 i 39 Uredbe, imenovao Ovlaštenika za zaštitu osobnih podataka i definirao njegove ovlasti, obaveze i odgovornosti.
4.2 Izvršitelj obrade je sukladno s odredbama čl. 37, 38 i 39 Uredbe, imenovao Ovlaštenika za zaštitu osobnih podataka i definirao njegove ovlasti, obaveze i odgovornosti.
5. Prava Voditelja obrade
5.1 Voditelj obrade ima pravo da u svakom trenutku, na vlastiti trošak i u suradnji sa nezavisnim revizorom, kod Izvršitelja obrade provjeri izvođenje Ugovornih usluga i izvođenje tehničkih, organizacijskih i kadrovskih mjera koje osiguravaju informacijsku sigurnost i zaštitu osobnih podataka, kao i sukladnost s Uredbom te dobrim praksama informacijske sigurnosti.
5.2 Voditelj obrade ima pravo da Izvršitelju obrade kod izvođenja aktivnosti koje su potrebne za pružanje Ugovornih usluga, ograniči ili zabrani suradnju s pojedinim podizvođačem.
5.2 Voditelj obrade ima pravo da Izvršitelju obrade kod izvođenja aktivnosti koje su potrebne za pružanje Ugovornih usluga, ograniči ili zabrani suradnju s pojedinim podizvođačem.
6. Obaveze Voditelja obrade
6.1 Voditelj obrade je dužan sve zahtjeve i upute, vezane za izvođenje Ugovornih usluga, proslijediti Izvršitelju obrade u pisanom obliku.
6.2 Voditelj obrade je dužan osiguravati zakonitost korištenja informacijskih sredstava, koje su predmet Ugovornih usluga i nad kojima Izvršitelj obrade, u skladu s ugovorenim odredbama, nema izravne kontrole ili druge mogućnosti utjecaja.
6.2 Voditelj obrade je dužan osiguravati zakonitost korištenja informacijskih sredstava, koje su predmet Ugovornih usluga i nad kojima Izvršitelj obrade, u skladu s ugovorenim odredbama, nema izravne kontrole ili druge mogućnosti utjecaja.
7. Prava Izvršitelja obrade
7.1 Izvršitelj obrade može u slučaju sumnje da će sa izvedbom uputa od strane Voditelja obrade kršiti važeće zakone, do promjene uputa privremeno prekinuti izvođenje Ugovornih usluga.
7.2 Izvršitelj obrade je dužan obavijestiti Voditelja obrade o potencijalnoj povredi važećih zakona te namjeri o prekidu izvođenja Ugovornih usluga pravovremeno i bez odlaganja.
7.3 Izvršitelj obrade smije u primjeru zloupotrebe ili nezakonite upotrebe informacionih sredstava, koja su predmet Ugovornih usluga, bez odlaganja ukinuti takvu aktivnost.
7.4 Izvršitelj obrade smije za izvođenje Ugovornih usluga sklopiti ugovor s podizvođačem, isključivo u opsegu i namjeni suradnje prethodno odobrenoj od strane Voditelja obrade. Ako Voditelj obrade ne postavi ograničenja, Izvršitelj obrade je slobodan sklopiti ugovor s podizvođačem po vlastitom izboru.
7.2 Izvršitelj obrade je dužan obavijestiti Voditelja obrade o potencijalnoj povredi važećih zakona te namjeri o prekidu izvođenja Ugovornih usluga pravovremeno i bez odlaganja.
7.3 Izvršitelj obrade smije u primjeru zloupotrebe ili nezakonite upotrebe informacionih sredstava, koja su predmet Ugovornih usluga, bez odlaganja ukinuti takvu aktivnost.
7.4 Izvršitelj obrade smije za izvođenje Ugovornih usluga sklopiti ugovor s podizvođačem, isključivo u opsegu i namjeni suradnje prethodno odobrenoj od strane Voditelja obrade. Ako Voditelj obrade ne postavi ograničenja, Izvršitelj obrade je slobodan sklopiti ugovor s podizvođačem po vlastitom izboru.
8. Obaveze Izvršitelja obrade
8.1 Izvršitelj obrade dužan je izvoditi Ugovorne usluge samo u opsegu te za namjene koje su dogovorene u Osnovnom ugovoru, Aneksima te pisanim zahtjevima i uputama Voditelja obrade.
8.2 Izvršitelj obrade će kod izvođenja Ugovornih usluga ispunjavati sve zahtjeve Uredbe u vezi s formiranjem i vođenjem revizijskih tragova.
8.3 Izvršitelj obrade će sukladno s Uredbom i dobrom praksom informacijske sigurnosti kontinuirano izvoditi i nadograđivati sve tehničke i organizacijske mjere koje osiguravaju zaštitu osobnih i drugih povezanih podataka Ispitanika i Voditelja obrade na način da će stalno osiguravati povjerljivost, cjelokupnost, raspoloživost i otpornost sustava i usluga.
8.4 Izvršitelj obrade će sa odobrenim podizvođačima sklopiti pisane ugovore.
8.5 Odgovornost Izvršitelja obrade je da odabrani podizvođači nude informacijsku sigurnost i zaštitu osobnih podataka najmanje na istom nivou kao i Izvršitelj obrade.
8.6 U slučaju primitka zahtjeva Ispitanika vezano za realizaciju prava koja su mu osigurana Uredbom te ako može na osnovu njemu dostupnih podataka povezati ispitanika s Voditeljem obrade, Izvršitelj obrade je dužan takav zahtjev bez odlaganja i u pisanom obliku proslijediti Voditelju obrade.
8.7 Svi zaposlenici i druge osobe koje sudjeluju u izvođenju Ugovornih usluga na strani Izvršitelja obrade, dužni su poštivati sve upute i standarde Voditelja obrade, kao i zahtjeve navedene u čl. 28, 28, 32 Uredbe.
8.8 Svi zaposlenici i druge osobe, koje sudjeluju u izvođenju Ugovornih usluga na strani Izvršitelja obrade, dužni su poštivati zaštitu poslovnih tajni.
8.9 Obaveza zaštite poslovnih tajni važeća je i poslije završetka radnog odnosa ili drugih ugovornih odnosa ili po prekidu suradnje između Voditelja obrade i Izvršitelja obrade.
8.10 Izvršitelj obrade će u slučajevima, koji su definirani u Uredbi i na osnovi pisanog zahtjeva Voditelja obrade, surađivati sa Agencijom za zaštitu osobnih podataka (AZOP).
8.11 Po završetku izvođenja Ugovornih usluga, Izvršitelj obrade dužan je najkasnije u roku 30 dana vratiti Voditelju obrade sve primljene zbirke osobnih podataka.
8.12 Ako Voditelj obrade ne zahtjeva drugačije ili ako zakoni ne nalažu skladištenje, Izvršitelj obrade dužan je u roku 60 dana poslije prekida suradnje trajno uništiti sve kopije i ostatke tragova zapisa osobnih podataka koji su bili predmet Ugovornih usluga i/ili sa kojima je bio u trajanju izvođenja Ugovornih usluga u nenamjenskom kontaktu. Iznimka su podatci, kopije ili drugi zapisi osobnih podataka, koje su sigurnosne kopije i kod kojih postoje tehnička ograničenja u vezi sa selektivnim brisanjem.
8.2 Izvršitelj obrade će kod izvođenja Ugovornih usluga ispunjavati sve zahtjeve Uredbe u vezi s formiranjem i vođenjem revizijskih tragova.
8.3 Izvršitelj obrade će sukladno s Uredbom i dobrom praksom informacijske sigurnosti kontinuirano izvoditi i nadograđivati sve tehničke i organizacijske mjere koje osiguravaju zaštitu osobnih i drugih povezanih podataka Ispitanika i Voditelja obrade na način da će stalno osiguravati povjerljivost, cjelokupnost, raspoloživost i otpornost sustava i usluga.
8.4 Izvršitelj obrade će sa odobrenim podizvođačima sklopiti pisane ugovore.
8.5 Odgovornost Izvršitelja obrade je da odabrani podizvođači nude informacijsku sigurnost i zaštitu osobnih podataka najmanje na istom nivou kao i Izvršitelj obrade.
8.6 U slučaju primitka zahtjeva Ispitanika vezano za realizaciju prava koja su mu osigurana Uredbom te ako može na osnovu njemu dostupnih podataka povezati ispitanika s Voditeljem obrade, Izvršitelj obrade je dužan takav zahtjev bez odlaganja i u pisanom obliku proslijediti Voditelju obrade.
8.7 Svi zaposlenici i druge osobe koje sudjeluju u izvođenju Ugovornih usluga na strani Izvršitelja obrade, dužni su poštivati sve upute i standarde Voditelja obrade, kao i zahtjeve navedene u čl. 28, 28, 32 Uredbe.
8.8 Svi zaposlenici i druge osobe, koje sudjeluju u izvođenju Ugovornih usluga na strani Izvršitelja obrade, dužni su poštivati zaštitu poslovnih tajni.
8.9 Obaveza zaštite poslovnih tajni važeća je i poslije završetka radnog odnosa ili drugih ugovornih odnosa ili po prekidu suradnje između Voditelja obrade i Izvršitelja obrade.
8.10 Izvršitelj obrade će u slučajevima, koji su definirani u Uredbi i na osnovi pisanog zahtjeva Voditelja obrade, surađivati sa Agencijom za zaštitu osobnih podataka (AZOP).
8.11 Po završetku izvođenja Ugovornih usluga, Izvršitelj obrade dužan je najkasnije u roku 30 dana vratiti Voditelju obrade sve primljene zbirke osobnih podataka.
8.12 Ako Voditelj obrade ne zahtjeva drugačije ili ako zakoni ne nalažu skladištenje, Izvršitelj obrade dužan je u roku 60 dana poslije prekida suradnje trajno uništiti sve kopije i ostatke tragova zapisa osobnih podataka koji su bili predmet Ugovornih usluga i/ili sa kojima je bio u trajanju izvođenja Ugovornih usluga u nenamjenskom kontaktu. Iznimka su podatci, kopije ili drugi zapisi osobnih podataka, koje su sigurnosne kopije i kod kojih postoje tehnička ograničenja u vezi sa selektivnim brisanjem.
9. Upravljanje s incidentima
10.1. Voditelj obrade i Izvršitelj obrade su suglasni da ih nijedna pojedinačna odredba te Izjave ili Osnovnog ugovornog odnosa ili Aneksa ili pisanih zahtjeva ne lišava pojedinačne obaveze poštivanja odredbi Uredbe i pojedinačne odgovornosti koja proizlazi iz nje.
10.2 U slučaju sporova u vezi sa sigurnošću osobnih podataka, odredbe ove Izjave imaju prednost pred odredbama Osnovnog ugovora i Aneksa.
10.3 Sve eventualne sporove proistekle iz ili u vezi s ovom Izjavom, Ugovorne strane rješavat će mirnim putem, a u slučaju da spor ne bi bio riješen mirnim putem, Ugovorne strane ugovaraju nadležnost suda u Zagrebz, uz primjenu prava Republike Hrvatske.
10.4 Nevaljanost ili neizvršivost pojedinačnih odredbi ove Izjave nema utjecaja na važenje ostalih valjanih odredbi. Ugovorne strane su obavezne bez odlaganja promijeniti svaku nevaljanu odredbu.
10.5 Ova Izjava je važeća za Voditelja obrade od trenutka predaje ili potvrde njegove narudžbe ili najkasnije od provedbe plaćanja. Za postojeće ugovorne partnere ta Izjava je važeća od trenutka njene objave na stranicama MadNET d.o.o.
10.6 Ova Izjava ima valjanost za razdoblje valjanosti osnovnog Ugovora i Aneksa.
10.2 U slučaju sporova u vezi sa sigurnošću osobnih podataka, odredbe ove Izjave imaju prednost pred odredbama Osnovnog ugovora i Aneksa.
10.3 Sve eventualne sporove proistekle iz ili u vezi s ovom Izjavom, Ugovorne strane rješavat će mirnim putem, a u slučaju da spor ne bi bio riješen mirnim putem, Ugovorne strane ugovaraju nadležnost suda u Zagrebz, uz primjenu prava Republike Hrvatske.
10.4 Nevaljanost ili neizvršivost pojedinačnih odredbi ove Izjave nema utjecaja na važenje ostalih valjanih odredbi. Ugovorne strane su obavezne bez odlaganja promijeniti svaku nevaljanu odredbu.
10.5 Ova Izjava je važeća za Voditelja obrade od trenutka predaje ili potvrde njegove narudžbe ili najkasnije od provedbe plaćanja. Za postojeće ugovorne partnere ta Izjava je važeća od trenutka njene objave na stranicama MadNET d.o.o.
10.6 Ova Izjava ima valjanost za razdoblje valjanosti osnovnog Ugovora i Aneksa.