1. Ugovorne strane
Ovaj Ugovor o obradi osobnih podataka („DPA") sklapa se između:
- Voditelj obrade: Korisnik aplikacije fleks.hr (vlasnik tvrtke koji se registrirao) — u daljnjem tekstu „Voditelj"
- Izvršitelj obrade: Helpdesk International d.o.o., Dubrava 159, Zagreb, OIB: 20505452581 — u daljnjem tekstu „Izvršitelj"
Ovaj DPA je sastavni dio Općih uvjeta korištenja aplikacije fleks.hr i stupa na snagu registracijom Voditelja u aplikaciji.
2. Predmet ugovora
Izvršitelj obrađuje osobne podatke u ime Voditelja isključivo u svrhu pružanja usluge aplikacije fleks.hr. Obrada uključuje: pohranu, organizaciju, strukturiranje, prilagodbu, dohvat, uvid, korištenje, brisanje i uništavanje osobnih podataka koje Voditelj unosi u aplikaciju.
3. Kategorije podataka i ispitanika
Kategorije ispitanika čiji se podaci obrađuju:
- Zaposlenici Voditelja
- Poslovni partneri Voditelja
Kategorije osobnih podataka:
- Identifikacijski podaci: ime, prezime, OIB
- Kontakt podaci: adresa, telefon, email
- Financijski podaci: IBAN, plaća, dodaci na plaću
- Podaci o zaposlenju: datum zaposlenja, radno mjesto, ugovor, odsutnosti
- Poslovni podaci partnera: naziv tvrtke, OIB, kontakt podaci
4. Obveze Izvršitelja
Izvršitelj se obvezuje:
- Obrađivati osobne podatke isključivo prema dokumentiranim uputama Voditelja
- Osigurati da osobe ovlaštene za obradu podataka poštuju povjerljivost
- Poduzeti sve tehničke i organizacijske mjere zaštite podataka sukladno članku 32. GDPR-a
- Ne angažirati drugog izvršitelja obrade bez prethodne opće pisane suglasnosti Voditelja
- Pomoći Voditelju u ispunjavanju obveza prema ispitanicima (pristup, ispravak, brisanje)
- Po prestanku pružanja usluge, obrisati sve osobne podatke ili ih vratiti Voditelju
- Staviti na raspolaganje Voditelju sve informacije potrebne za dokazivanje sukladnosti
5. Pod-izvršitelji obrade
Izvršitelj koristi sljedeće pod-izvršitelje:
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Njemačka — hosting infrastruktura i pohrana podataka (poslužitelji i object storage unutar EU)
Voditelj daje opću suglasnost za korištenje navedenih pod-izvršitelja. Izvršitelj će obavijestiti Voditelja o bilo kakvim promjenama pod-izvršitelja najmanje 30 dana unaprijed putem emaila.
Izvršitelj provodi godišnju reviziju svih pod-izvršitelja kako bi osigurao da je zaštita osobnih podataka i dalje na zahtijevanoj razini te u skladu s važećim propisima.
6. Tehničke i organizacijske mjere
Izvršitelj primjenjuje sljedeće mjere zaštite:
- Enkripcija podataka u prijenosu (TLS/HTTPS)
- Enkripcija osjetljivih podataka u mirovanju (AES-256)
- Kontrola pristupa putem autentikacije i autorizacije
- Dvofaktorska autentikacija (2FA)
- Redovite sigurnosne kopije
- Evidencija pristupa i promjena (audit log)
- Zaštita od neovlaštenog pristupa (firewall, rate limiting)
- Fizička sigurnost osigurana od strane Hetzner-a (ISO 27001 certificirani podatkovni centri)
- Server-side session autentikacija s httpOnly cookie-jem
7. Sigurnosni incident
U slučaju povrede osobnih podataka, Izvršitelj će bez nepotrebnog odgađanja, a najkasnije u roku od 48 sati od saznanja, obavijestiti Voditelja o:
- Prirodi povrede
- Kategorijama i približnom broju ispitanika
- Vjerojatnim posljedicama
- Mjerama poduzetim za ublažavanje posljedica
8. Prijenos podataka
Osobni podaci se ne prenose izvan Europskog gospodarskog prostora (EGP). Svi poslužitelji i storage nalaze se u Njemačkoj (EU).
9. Trajanje i prestanak
Ovaj DPA je na snazi dok god Voditelj koristi aplikaciju. Po prestanku korištenja (brisanje računa), Izvršitelj će nepovratno obrisati sve osobne podatke Voditelja u roku od 30 dana, osim ako zakonske obveze ne zahtijevaju dulje čuvanje.
10. Mjerodavno pravo
Na ovaj DPA primjenjuje se Opća uredba o zaštiti podataka (GDPR — Uredba (EU) 2016/679) i pravo Republike Hrvatske. Za sporove je nadležan stvarno nadležan sud u Zagrebu.
11. Kontakt
Izvršitelj obrade:
Helpdesk International d.o.o.
Dubrava 159, Zagreb
OIB: 20505452581
Kontakt za zaštitu podataka: [email protected]