Sklopljen sukladno članku 28(3) Opće uredbe o zaštiti podataka EU 2016/679 („GDPR"), kao sastavni dio suradnje Korisnika s BID Grupa d.o.o. (dalje: Pružatelj) za usluge izrade i/ili održavanja web stranica. Primjenjuje se zajedno s pripadajućom potpisanim Ugovorom i Općim uvjetima suradnje.
U odnosu uređenom Ugovorom, Korisnik je Voditelj obrade, a Pružatelj je Izvršitelj obrade osobnih podataka u smislu članka 4(7)–(8) GDPR-a.
Priroda obrade — ograničeni opseg: Pružatelj kroz vlastitu i partnersku tehničku infrastrukturu (CMS, hosting, CDN) omogućuje prijenos i tehničko procesiranje osobnih podataka koje generira poslovanje Korisnika. Pružatelj ne pohranjuje, ne analizira niti koristi osobne podatke ispitanika izvan opsega operativnih log/cache razdoblja nužnih za pružanje tehničke usluge i osiguravanje sigurnosti sustava. Detaljniji opis nalazi se u Prilogu DPA-1.
Pružatelj obrađuje osobne podatke isključivo na temelju dokumentiranih uputa Voditelja, sadržanih u Ugovoru, Općim uvjetima, ovom DPA-u, Prilogu DPA-1 i kasnijim pisanim uputama. Pružatelj će obavijestiti Voditelja ako ocijeni da uputa krši GDPR ili druge propise EU/RH.
Sve aktivnosti obrade odvijaju se unutar EU/EEA. Prijenos u treću zemlju zahtijeva pisanu suglasnost Voditelja i provodi se sukladno čl. 44. GDPR-a.
Voditelj daje Pružatelju opću pisanu suglasnost za korištenje podizvršitelja obrade pod uvjetom da Pružatelj nametne istom obveze zaštite podataka jednake onima iz ovog DPA-a. Pružatelj će unaprijed obavijestiti Voditelja o namjeravanoj zamjeni ili dodavanju podizvršitelja, uz rok od 14 dana za obrazloženi prigovor. Aktualni popis podizvršitelja Pružatelj na zahtjev dostavlja u pisanom obliku.
Pružatelj implementira odgovarajuće tehničke i organizacijske mjere zaštite podataka prikladne riziku obrade: kontrolu pristupa (autentikacija, autorizacija na principu „najmanje privilegije", logiranje), enkripciju u prijenosu (TLS) i, gdje je primjenjivo, u mirovanju, redovno ažuriranje softvera i sigurnosnih zakrpa, sigurnosne kopije, dokumentirane procese upravljanja izmjenama i incidentima, ugovornu povjerljivost svih osoba pod njegovim vodstvom. Detaljniji opis u Prilogu DPA-2.
Sve osobe koje obrađuju podatke pod vodstvom Pružatelja imaju zakonsku ili ugovornu obvezu povjerljivosti, koja traje i nakon prestanka Ugovora.
Ako se ispitanik izravno obrati Pružatelju radi ostvarivanja prava iz GDPR-a (poglavlje III.), Pružatelj zahtjev bez odgode prosljeđuje Voditelju i ne odgovara samostalno, osim na izričitu pisanu uputu Voditelja. Pružatelj pruža razumnu tehničku i organizacijsku pomoć Voditelju u ispunjavanju zahtjeva ispitanika.
Pružatelj će obavijestiti Voditelja bez nepotrebnog odlaganja, najkasnije unutar 24 sata od saznanja o povredi osobnih podataka, te dostaviti dostupne informacije potrebne Voditelju za prijavu nadzornom tijelu (priroda povrede, kategorije i približan broj zahvaćenih ispitanika i evidencija, vjerojatne posljedice, poduzete ili predložene mjere). Korektivne mjere snosi Pružatelj u mjeri u kojoj je povreda nastala kao posljedica njegovog propusta.
Pružatelj surađuje s Voditeljem i s Agencijom za zaštitu osobnih podataka (AZOP). Voditelj ima pravo provjeriti usklađenost putem pisanih upitnika i dokaza o mjerama, te uz prethodnu najavu od 30 dana provesti reviziju (sam ili putem neovisnog revizora) na način koji ne narušava poslovanje Pružatelja; trošak revizije snosi Voditelj.
Pružatelj kao kontaktnu točku za pitanja zaštite podataka određuje pravni e-mail iz Ugovora (sekcija 1 — Pružatelj). Voditelj kao kontaktnu točku određuje DPO e-mail iz Ugovora (sekcija 2 — Korisnik). Promjena kontaktne točke dostavlja se drugoj Strani pisanim putem najmanje 14 dana prije primjene.
DPA se primjenjuje cijelo vrijeme dok god Pružatelj u ime Voditelja obrađuje osobne podatke po bilo kojoj aktivnoj usluzi (Izrada ili Održavanje). Po prestanku Ugovora, Pružatelj će u roku od 30 dana, prema pisanom izboru Voditelja, vratiti ili izbrisati sve osobne podatke kojima ima pristup, te o izvršenom dostaviti pisanu potvrdu, osim u dijelu u kojem zakonski propisi nalažu daljnju pohranu.
Pružatelj zadržava pravo jednostranih izmjena ovog DPA-a u skladu s razvojem propisa o zaštiti podataka i tehnoloških praksi. Izmijenjeni DPA primjenjuje se na sve Korisnike, uključujući one koji su Ugovor potpisali prije izmjene. URL na kojem je DPA objavljen nije verzioniran — uvijek prikazuje trenutno važeću verziju.
Pružatelj će o svakoj izmjeni obavijestiti Voditelja pisanim putem najmanje 60 dana prije primjene. Bitne izmjene daju Voditelju pravo prigovora u roku od 30 dana i raskida Ugovora bez otkaznog roka; manje izmjene primjenjuju se automatski po isteku roka iz prvog stavka, osim ako Voditelj u tom roku pisanim putem prigovori. Pružatelj interno arhivira sve verzije DPA-a; arhiv prethodnih verzija dostupan je na pisani zahtjev.
Napomena: Pružatelj ne pohranjuje osobne podatke ispitanika u trajne baze podataka pod vlastitom kontrolom izvan opsega operativnih logova i cachea. Podaci uneseni putem formi prosljeđuju se u sustave Korisnika prema konfiguraciji.