Ugovor o obradi podataka

1Definicije

Pojmovi korišteni u ovom Ugovoru imaju značenje određeno Općom uredbom o zaštiti podataka (GDPR):

• "Voditelj obrade" – korisnik Platforme (odvjetnik) koji određuje svrhe i sredstva obrade
• "Izvršitelj obrade" – ALTEQ koji obrađuje podatke u ime Voditelja
• "Osobni podaci" – svi podaci koje Voditelj unese u Platformu
• "Ispitanik" – fizička osoba na koju se odnose osobni podaci (stranke)
• "Povreda podataka" – kršenje sigurnosti koje dovodi do uništenja, gubitka ili neovlaštenog otkrivanja podataka

2Predmet i opseg obrade

2.1. Izvršitelj obrade obrađuje osobne podatke isključivo u svrhu pružanja usluge Platforme, sukladno Uvjetima korištenja.

2.2. Vrste osobnih podataka koje se obrađuju uključuju:

• Podaci o strankama (ime, prezime, OIB, adresa, kontakt podaci)
• Podaci o predmetima (naziv, broj predmeta, sud, status, dokumenti)
• Podaci o korisnicima Platforme (ime, prezime, email, telefon)

2.3. Kategorije ispitanika uključuju:

• Stranke (klijenti odvjetnika)
• Korisnici Platforme (odvjetnici i njihovo osoblje)
• Suprotne strane u sudskim postupcima

3Obveze Voditelja obrade (Korisnika)

3.1. Voditelj obrade jamči da ima valjanu pravnu osnovu za obradu svih osobnih podataka koje unosi u Platformu.

3.2. Voditelj obrade odgovoran je za informiranje ispitanika o obradi njihovih podataka u skladu s člancima 13. i 14. GDPR-a.

3.3. Voditelj obrade dužan je odgovoriti na zahtjeve ispitanika za ostvarivanje njihovih prava (pristup, ispravak, brisanje i sl.).

3.4. Voditelj obrade odgovoran je za zakonitost obrade i snosi svu odgovornost prema ispitanicima.

3.5. Voditelj obrade dužan je izvršiti procjenu utjecaja na zaštitu podataka (DPIA) ako je to propisano člankom 35. GDPR-a.

4Obveze Izvršitelja obrade (ALTEQ)

4.1. Izvršitelj obrade obrađuje osobne podatke isključivo prema dokumentiranim uputama Voditelja obrade.

4.2. Izvršitelj obrade osigurava povjerljivost osobnih podataka – sve osobe koje imaju pristup podacima obvezane su na povjerljivost.

4.3. Izvršitelj obrade poduzima odgovarajuće tehničke i organizacijske mjere za zaštitu podataka, uključujući:

• Enkripciju podataka u prijenosu (TLS/SSL) i mirovanju (AES-256)
• Kontrolu pristupa i autentifikaciju
• Redovite sigurnosne kopije
• Praćenje i evidentiranje pristupa

4.4. Izvršitelj obrade pomaže Voditelju u ispunjavanju zahtjeva ispitanika za ostvarivanje njihovih prava.

4.5. Izvršitelj obrade obavještava Voditelja bez nepotrebne odgode nakon što sazna za povredu osobnih podataka.

4.6. Izvršitelj obrade stavlja na raspolaganje Voditelju sve informacije potrebne za dokazivanje usklađenosti s ovim Ugovorom.

5Podizvođači (Subjekti koji obrađuju podatke)

5.1. Izvršitelj obrade može angažirati podizvođače za obradu osobnih podataka, uključujući:

• Davatelje usluga hostinga i pohrane podataka
• Davatelje usluga e-pošte
• Davatelje usluga analitike (anonimizirani podaci)

5.2. Izvršitelj obrade dužan je s podizvođačima sklopiti ugovore koji pružaju jednaku razinu zaštite osobnih podataka.

5.3. Popis podizvođača može se ažurirati, a Voditelj obrade ima pravo prigovora na promjene.

5.4. Trenutni podizvođači navedeni su u Prilogu 1 ovog Ugovora.

6Međunarodni prijenos podataka

6.1. Svi osobni podaci pohranjuju se na poslužiteljima unutar Europske unije (trenutno: Njemačka).

6.2. Ako je prijenos podataka izvan EU potreban, primjenjuju se odgovarajuće zaštitne mjere u skladu s člankom 46. GDPR-a (npr. standardne ugovorne klauzule).

6.3. Voditelj obrade daje opću suglasnost za prijenos podataka uz primjenu standardnih ugovornih klauzula.

7Povreda osobnih podataka

7.1. U slučaju povrede osobnih podataka, Izvršitelj obrade će bez nepotrebne odgode, a najkasnije u roku od 24 sata, obavijestiti Voditelja.

7.2. Obavijest će sadržavati:

• Opis prirode povrede (uključujući kategorije i približan broj ispitanika i podataka)
• Vjerojatne posljedice povrede
• Poduzete i planirane mjere za rješavanje povrede

7.3. Izvršitelj obrade pruža Voditelju svu potrebnu pomoć u vezi s obavješćivanjem nadzornog tijela i ispitanika.

8Revizija i provjera usklađenosti

8.1. Voditelj obrade ima pravo izvršiti reviziju Izvršitelja obrade najviše jednom godišnje, uz najavu od 30 dana.

8.2. Revizija se provodi na trošak Voditelja obrade, osim ako revizija otkrije kršenje ovog Ugovora.

8.3. Izvršitelj obrade omogućuje Voditelju uvid u dokumentaciju koja dokazuje usklađenost s ovim Ugovorom.

9Razdoblje čuvanja i brisanje podataka

9.1. Izvršitelj obrade čuva osobne podatke dok Voditelj obrade koristi Platformu.

9.2. Nakon prestanka korištenja Platforme ili brisanja računa, Izvršitelj obrade briše sve osobne podatke u roku od 30 dana.

9.3. Iznimka: Podaci koji se moraju čuvati prema zakonskim obvezama (npr. računovodstveni podaci) čuvat će se u skladu s propisanim rokovima.

9.4. Po zahtjevu Voditelja, Izvršitelj obrade vratit će podatke u strojno čitljivom formatu prije brisanja.

10Odgovornost i naknada štete

10.1. Svaka stranka odgovara za štetu nastalu kršenjem obveza iz ovog Ugovora u skladu s člankom 82. GDPR-a.

10.2. Izvršitelj obrade ne odgovara za štetu koja proizlazi iz nezakonite obrade od strane Voditelja.

10.3. Ukupna odgovornost Izvršitelja obrade ograničena je na iznos koji je Voditelj platio za korištenje Platforme u posljednjih 12 mjeseci, osim u slučaju namjere ili krajnje nepažnje.

11Trajanje i raskid

11.1. Ovaj Ugovor stupa na snagu registracijom korisnika na Platformi i traje za vrijeme korištenja Platforme.

11.2. U slučaju kršenja bilo koje odredbe ovog Ugovora, svaka stranka može raskinuti Ugovor uz pisanu obavijest od 30 dana.

11.3. Raskidom Ugovora prestaje pravo obrade osobnih podataka, osim za podatke koje je potrebno čuvati prema zakonu.

12Mjerodavno pravo i nadležnost

12.1. Ovaj Ugovor uređen je hrvatskim pravom.

12.2. Svi sporovi koji proizađu iz ovog Ugovora rješavat će se pred nadležnim sudom u Zagrebu.