SOTAH Gate - Zaštita podataka

Ugovor o obradi osobnih podataka

Uvodne odredbe

Ovaj Ugovor o obradi osobnih podataka, uključujući priloge („UOP“) čini sastavni dio Glavnog ugovora sklopljenog između društva Kodilion d.o.o. („Kodilion“) i korisnika usluge („Korisnik“), u ovom OUP zajedno označenih kao „Ugovorne strane“.
Ovaj se OUP primjenjuje za vrijeme primjene Glavnog ugovora, osim ukoliko neke od odredbi ovog OUP određuju daljnje obveze ili pravo na raskid ovog OUP.
Ugovorne strane suglasno utvrđuju kako sklapaju ovaj UOP u svrhe definiranja uvjeta pod kojim Kodilion, kao izvršitelj obrade, obrađuje osobne podatke prema uputama Korisnika, kao voditelja obrade, s ciljem ispunjavanja zahtjeva Opće uredbe o zaštiti podataka (Opća uredba) i drugih primjenjivih propisa o zaštiti osobnih podataka.

Definicije

Pojmovi korišteni u ovom UOP imat će značenje kako je utvrđeno primjenjivim odredbama Opće uredbe.

Predmet ugovora

Ovaj OUP se primjenjuje na obradu osobnih podataka u okviru usluge koju Kodilion pruža Korisniku temeljem Glavnog ugovora.
Detalji o obradi osobnih podataka koje će Kodilion provoditi u ime i prema uputi Korisnika sadržani su u Prilogu 1. ovog OUP.
Kodilion smije prikupljati, koristiti ili na drugi način obrađivati osobne podatke unutar opsega predviđenog Glavnim ugovorom i u skladu s uputama Korisnika.
Ukoliko Kodilion treba dalje obrađivati podatke temeljem obveze iz nacionalnog zakonodavstva Republike Hrvatske i/ili prava Europske unije prava, obavijestit će Korisnika o tim obvezama prije nego započne s takvom obradom.
Ukoliko Kodilion smatra da upute koje mu je Korisnik dao nisu u skladu s propisima iz područja zaštite osobnih podataka, Kodilion će bez odgode o tome obavijestiti Korisnika.

Mjesto izvršenja ugovora

Obrada osobnih podataka koja je predmet ovog UOP provodit će se isključivo na području države članice Europske unije ili na području Europskog gospodarskog prostora.
Iznimno, podaci se mogu prenositi u treće zemlje koje su odlukom Europske komisije postale adekvatne za prijenos podataka i u ostale treće zemlje, uz poduzimanje primjerenih zaštitnih mehanizama predviđenih Općom uredbom i/ili važećim sporazumima nadležnih tijela Europske unije s trećim zemljama.

Obveze Kodiliona

Kodilion će učiniti dostupnim Korisniku sve informacije koje su nužne za dokazivanje izvršavanja obveza iz ovog UOP i dozvoliti nadzor svojih aktivnosti u obradi osobnih podatka, uključujući provjeru provođenja tehničkih i organizacijskih mjera zaštite iz Priloga 2. ovog UOP.
Kodilion će bez odlaganja obavijestiti Korisnika o svim zahtjevima Agencije za zaštitu osobnih podataka i drugih nadležnih tijela te će surađivati s Korisnikom u svim aktivnostima i postupcima u okviru predmetnog zahtjeva i/ili nadzora.
Kodilion će bez odlaganja obavijestiti Korisnika o svim zahtjevima ispitanika koji se odnose na obradu osobnih podatka te će pružati informacije i pomoć u postupku pravovremenog ispunjavanja zahtjeva ispitanika.
Kodilion će kao izvršitelj obrade voditi evidenciju aktivnosti obrade koju provodi u ime Korisnika.
Ukoliko je primjenjivo, Kodilion će na odgovarajući način pomoći Korisniku u provedbi procjene učinka na zaštitu podataka (DPIA).

Mjere zaštite podataka

Kodilion će implementirati i održavati tehničke i organizacijske mjere koje jamče primjerenu razinu zaštite osobnih podataka sukladno riziku za sigurnost, povjerljivost, integritet i dostupnost osobnih podataka.
Tehničke i organizacijske mjere koje primjenjuje Kodilion opisane su u Prilogu 2. ovog UOP.
Kodilion će redovito testirati, procjenjivati i ocjenjivati učinkovitost zaštitnih mjera.

Obveza prijave povrede osobnih podataka

U slučaju sumnje na povredu podataka i/ili sigurnosni incidente Kodilion će bez odlaganja obavijestiti Korisnika u pisanom obliku i pružiti sve informacije o predmetnom događaju.
Kodilion će poduzeti sve nužne mjere da bi se osobni podaci zaštitili i spriječile moguće daljnje negativne posljedice za prava i slobode ispitanika.
Kodilion će održavati i čuvati relevantne dokumente, zapise i druge podatke koji su razumno povezani s bilo kojim sigurnosnim incidentom.

Podugovaranje obrade osobnih podataka

Kodilion koristi podizvršitelje za obavljanje usluge obrade osobnih podatka koja je predmet ovog OUP.
Kodilion sa svim podizvršiteljima obrade sklapa ugovore o obradi osobnih podataka kojim na podizvršitelje prenosi jednaku razinu prava i obveza koje su definirane ovim UOP.
Popis podizvršitelja koje koristi Kodilion naveden je u Prilogu 3. ovog OUP.
Kodilion će obavijestiti Korisnika o angažiranju novog podizvršitelja, te će se smatrati da je Korisnik suglasan s promjenama ukoliko ne uloži prigovor u roku od 30 dana od primitka obavijesti.

Povrat i brisanje osobnih podataka

Nakon raskida Glavnog ugovora, ili u bilo kojem trenutku na zahtjev Korisnika, ukoliko je primjenjivo, Kodilion je dužan sigurno izbrisati i, ukoliko je primjenjivo, vratiti osobne podatke Korisnika.
Iznimno, ukoliko je Kodilion temeljem posebnih propisa obvezan sačuvati i pohraniti određene osobne podatke i nakon prestanka pružanja usluge, o tome će obavijestiti Korisnika prije početka obrada, odnosno u trenutku nastanka takve obveze.

Odgovornost

Ugovorne strane biti će odgovorne prema ispitanicima u skladu s odredbama čl. 82. Opće uredbe.
Ugovorne strane će osloboditi jedna drugu od odgovornosti ukoliko jedna od njih dokaže da nije odgovorna za okolnosti koje su dovele do nastanka štete za ispitanika.
Kodilion će surađivati s Korisnikom oko mogućih slučajeva odgovornosti za štetu.

Zaključne odredbe

Odredbe ovog OUP tumačit će se u skladu s pravom Republike Hrvatske.
Ugovorne strane se obvezuju da će sve eventualne sporove proizašle iz ovog OUP nastojati riješiti mirnim putem, a ukoliko to ne bude moguće ugovaraju nadležnost suda u Zagrebu.
Ukoliko bi bilo koja odredba ovog OUP bila ili postala djelomično ili potpuno ništetna ili neprovediva to ne utječe na valjanost i održivost ostalih ugovornih odredbi.

Prilozi:

Prilog 1. Svrhe obrade i uputa za obradu osobnih podataka
Prilog 2. Tehničke i organizacijske mjere zaštite osobnih podataka
Prilog 3. Popis podizvršitelja obrade osobnih podataka

Prilog 1.

Svrhe obrade i uputa za obradu osobnih podataka

Priroda obrade: Prijenos i pohrana podataka na cloud poslužitelju.

Svrhe obrade: Unos podataka i prijenos datoteka u Sustav za središnju obradu tahografskih podataka (SOTAH), sukladno zakonskoj obvezi Korisnika temeljem Zakona o radnom vremenu, obveznim odmorima mobilnih radnika i uređajima za bilježenje u cestovnom prijevozu.

Uputa za obradu: Kodilion u ime Korisnika unosi podatke u SOTAH sustav i omogućava njihovu pohranu na cloud poslužitelju. Prema potrebi i temeljem zahtjeva Korisnika, Kodilion će generirati izvještaje i slati ih Korisniku, te vršiti druge razumno očekivane radnje nad osobnih podacima po uputi Korisnika (analiza, kopiranje, brisanje, izdvajanje i sl.) u okviru usluga iz Glavnog ugovora.

Trajanje obrade: Kodilion će kontinuirano obrađivati osobne podatka Korisnika za vrijeme pružanja usluge iz Glavnog ugovora.

Kategorije osobnih podataka: Osobni podaci koje će Kodilion obrađivati u ime Korisnike ovise o vrsti usluge, te obuhvaćaju sljedeće podatke: podaci s Kartice vozača (ime i prezime, datum rođenja, broj vozačke dozvole, broj kartice vozača, država izdavanja kartice vozača), radno vrijeme i obvezni odmor mobilnih radnika i vozača u cestovnom prijevozu, vremena vožnje, prekidi vožnje i druge nužne podatke koje će Kodilionu dostaviti Korisnik u okviru pružanja usluge iz Glavnog ugovora.

Kategorije ispitanika: Mobilni radnici i vozači.

Prilog 2.

Tehničke i organizacijske mjere zaštite

Kodilion je uspostavio primjerene tehničke i organizacijske mjere zaštite osobnih podataka te jamči da je usluga koju pruža u potpunosti usklađena sa svom primjenjivom regulativom, a posebno propisima koji se odnose na zaštitu i sigurnost osobnih podataka.

Kodilion će redovito procjenjivati učinkovitost te trajno poboljšavati i unapređivati tehničke i organizacijske mjere zaštite osobnih podataka.
Kodilion primjenjuje sljedeće organizacijske i tehničke mjere zaštite osobnih podataka:

Uspostavljen je interni sustav odgovornosti za informacijsku sigurnost i zaštitu osobnih podataka.
Uspostavljen je učinkoviti sustav identifikacije, procjene i upravljanja rizikom informacijske sigurnosti.
Svi zaposlenici Kodiliona koji mogu ostvariti pristup osobnim Korisnika primjereno su educirani i obvezani na povjerljivost osobnih podataka.
Delegirane su odgovornosti i uspostavljene procedure za identifikaciju, zaustavljanje i sprečavanje sigurnosnih incidenata, uključujući i povrede osobnih podataka.
Obrada osobnih podataka provodi se isključivo sa lokacija gdje ne prijeti mogućnost curenja podataka, narušavanja njihovog integriteta ili nanošenja bilo kakve štete podacima i sustavima.
Tehnička infrastruktura zaštićena je alarmnim sustavom i videonadzorom.
Pristup servisu se odvija HTTPS (SSL) protokolom. Svaki korisnički račun je zaštićen lozinkom. Sve lozinke prolaze kroz one-way hash-and-salt tehniku prije pohrane u bazu što omogućava nečitljivost lozinki.
Nekolicina zaposlenika Kodiliona ima pristup produkcijskoj bazi podataka. Pristup se odobrava po potrebi i strogo se kontrolira.
Kontinuirano se automatski uzima sigurnosna kopija transakcijskih podataka. Pohranjuju se u trajanju od 30 dana. Jednom tjedno se uzima puna sigurnosna kopija i čuva se 30 dana.
Garantiramo 99% dostupnost servisa SOTAH Gate. Većina produkcijskih izmjena ne zahtjeva nedostupnost produkcijskog servisa. U slučaju planirane nedostupnosti servisa, korisnici će biti obaviješteni o nedostupnosti servisa minimalno 24 sata ranije.
Naš sustav se proaktivno nadzire 24/7. To nam omogućava trenutnu reakciju u slučaju smanjenih performansi rada servisa.
Produkcijska okolina se redovno osvježava. Redovno se primjenjuju kritične zakrpe sustava.
Kodilion koristi usluge hostinga Civo i Wasabi. Naši poslužitelju su dio Civo i Wasabi infrastrukture smještene u EU. Civo i Wasabi pružaju visoko sigurnu infrastrukturu i onemogućavaju neovlašteni pristup resursima.

Prilog 3.

Popis podizvršitelja obrade osobnih podataka

Naziv subjekta	Aktivnost podobrade podataka	Država subjekta
Civo	pružatelj usluga u oblaku	Ujedinjeno Kraljevstvo
Wasabi	pružatelj usluga u oblaku	Sjedinjene Američke Države
Hetzner	pružatelj usluga u oblaku	Njemačka