Sporazum o obradi podataka (AVV]
sukladno čl. 28. st. 3. Opće uredbe o zaštiti podataka (GDPR]
§ 1 Predmet i trajanje naloga
(1] Ovaj sporazum regulira prava i obveze stranaka u vezi s obradom osobnih podataka od strane izvršitelja obrade (izvršitelj obrade] u ime klijenta (voditelj obrade]. Primjenjuje se na sve aktivnosti u kojima zaposlenici izvršitelja obrade ili treće strane koje je on angažirao mogu doći u kontakt s osobnim podacima voditelja obrade.
(2] Trajanje ovog ugovora ovisi o trajanju glavnog ugovora o korištenju softvera "BusWay". Automatski završava prestankom glavnog ugovora, osim ako postoje zakonske obveze čuvanja.
§ 2 Vrsta i svrha obrade
(1] Izvršitelj obrade stavlja voditelju obrade na raspolaganje platformu Software-as-a-Service (SaaS]. Obrada obuhvaća prikupljanje, pohranu, vrednovanje i pružanje podataka za podršku operativnim procesima.
(2] Svrha obrade je digitalno upućivanje na Route/Line, navigacija voznog osoblja, upravljanje informacijama o rutama te tehničko osiguranje rada softvera.
§ 3 Vrsta podataka i krug ispitanika
(1] Kategorije ispitanika: Zaposlenici korisnika (vozači, dispečeri, administratori].
(2] Vrsta obrađenih osobnih podataka:
- Podaci za identifikaciju (korisničko ime, adresa e-pošte, ime i prezime].
- Podaci o lokaciji i kretanju (GPS koordinate tijekom aktivnog korištenja aplikacije, povijest ruta].
- Metapodaci uređaja (IP adresa, ID uređaja, verzija operativnog sustava, verzija aplikacije].
- Podaci o korištenju (vremenske oznake prijava, kreirane ili korištene rute, zapisi sinkronizacije].
§ 4 Obveze izvršitelja obrade
(1] Izvršitelj obrade obrađuje osobne podatke isključivo u okviru dogovorenih sporazuma i prema uputama voditelja obrade, osim ako je zakonskim propisima obvezan na drugu obradu.
(2] Izvršitelj obrade jamči da su se sve osobe koje su ovlaštene za obradu osobnih podataka obvezale na povjerljivost ili podliježu odgovarajućoj zakonskoj obvezi čuvanja tajne.
(3] Izvršitelj obrade poduzima sve potrebne mjere u skladu s čl. 32. GDPR (Sigurnost obrade] kako bi se osigurala razina zaštite koja je primjerena riziku.
(4] Izvršitelj obrade pruža voditelju obrade najbolju moguću podršku u poštivanju obveza navedenih u čl. 32. do 36. GDPR-a (npr. prijava povreda zaštite osobnih podataka].
§ 5 Obveze voditelja obrade
(1] Voditelj obrade snosi isključivu odgovornost za ocjenu dopuštenosti obrade u skladu s čl. 6. st. 1. GDPR-a, kao i za zaštitu prava ispitanika (npr. informiranje zaposlenika o GPS praćenju].
(2] Voditelj obrade daje svoje upute u pravilu korištenjem funkcija softvera (npr. kreiranje ili brisanje korisnika]. Usmena uputstva moraju se odmah potvrditi u pisanom obliku ili u tekstualnom obliku (e-pošta].
§ 6 Tehničko-organizacijske mjere (TOM]
(1] Izvršitelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere za zaštitu podataka od neovlaštenog pristupa, gubitka ili promjene.
- Povjerljivost: Šifriranje prijenosa podataka (SSL/TLS], zaštita lozinkom (Hashing], kontrole pristupa.
- Integritet: Kontrola unosa, protokoliranje pristupa sustavu, odvajanje podataka klijenata (logičko odvajanje].
- Dostupnost: Redovite sigurnosne kopije, redundantna poslužiteljska infrastruktura, planovi za hitne slučajeve (oporavak od katastrofe].
- Opteretivost: Korištenje skalabilnih cloud infrastruktura i redovita provjera sigurnosti sustava.
§ 7 Podugovorni odnosi
(1] Voditelj obrade daje izvršitelju obrade opću dozvolu za angažiranje drugih izvršitelja obrade (podizvođača] za ispunjavanje ugovornih obveza.
(2] Izvršitelj obrade obavještava voditelja obrade o svakoj namjeravanoj promjeni u vezi s angažiranjem ili zamjenom drugih izvršitelja obrade. Voditelj obrade ima pravo prigovora.
(3] Trenutno angažirani podizvođači navedeni su u prilogu ovog ugovora.
§ 8 Prava kontrole
(1] Voditelj obrade ima pravo u razumnoj mjeri provjeriti poštivanje zakonskih propisa i odredbi ovog ugovora kod izvršitelja obrade. Budući da se radi o SaaS rješenju, dokaz se prvenstveno može pružiti putem certifikata ili potvrda neovisnih trećih strana.
§ 9 Brisanje i povrat podataka
(1] Nakon završetka pružanja usluga obrade, izvršitelj obrade briše sve osobne podatke ili ih vraća voditelju obrade, osim ako postoji zakonska obveza pohrane.
§ 10 Završne odredbe
(1] Ako su pojedini dijelovi ovog sporazuma nevažeći, to ne utječe na valjanost ostalih odredbi.
(2] Primjenjuje se pravo Savezne Republike Njemačke. Nadležni sud je sjedište izvršitelja obrade.
Izvršitelj obrade koristi sljedeće pružatelje usluga za ispunjavanje svoje usluge:
| Usluga | Pružatelj usluga | Lokacija poslužitelja |
|---|---|---|
| Hosting, baza podataka & Backend | Strato AG | Berlin / Karlsruhe, DE |
| Podaci o kartama & Geocoding | Google Cloud EMEA | Dublin, IE (EU] |
| Preprodavač / Merchant of Record | Paddle.com Market Ltd | London, UK (Odluka o primjerenosti] |