Ugovor o obradi podataka o ličnosti
Ovaj ugovor („DPA“) zaključuju organizator događaja kao rukovalac i Pozivnici kao obrađivač, u skladu sa članom 28. GDPR-a, radi obrade podataka gostiju i drugih lica u okviru usluge.
Ugovorne strane i predmet
Ovaj Ugovor o obradi podataka (u daljem tekstu: „DPA“) zaključuju:
- Rukovalac
- Organizator događaja koji je otvorio nalog na platformi Pozivnici (u daljem tekstu: „Rukovalac“), prihvatanjem ovih uslova prilikom registracije.
- Obrađivač
- Pozivnici d.o.o., TODO-LAWYER: pun naziv, PIB, MB, adresa sedišta (u daljem tekstu: „Obrađivač“).
DPA čini sastavni deo Uslova korišćenja. U slučaju sukoba između dokumenata, u pogledu obrade ličnih podataka primenjuju se odredbe ovog DPA.
Predmet, priroda i svrha obrade
Predmet ovog DPA je regulisanje međusobnih prava i obaveza u vezi sa obradom ličnih podataka koju Obrađivač vrši u ime Rukovaoca putem platforme Pozivnici, u skladu sa članom 28. GDPR-a i odgovarajućim odredbama ZZPL-a.
- Priroda obrade
- Prikupljanje, strukturiranje, čuvanje, prikazivanje, prenos i brisanje podataka u okviru funkcionalnosti platforme.
- Svrha obrade
- Omogućavanje organizatoru da kreira, objavi i podeli digitalne pozivnice, te da prikuplja RSVP odgovore od gostiju i upravlja listom gostiju.
- Trajanje obrade
- Za vreme važenja Uslova korišćenja i 30 dana nakon raskida, ili dok Rukovalac sam ne zatraži ranije brisanje podataka.
Kategorije lica i vrste podataka
Obrada se odnosi na sledeće kategorije lica i podataka:
| Kategorija lica | Vrste podataka |
|---|---|
| Predstavnici Rukovaoca (administratori naloga) | Ime, prezime, e-mail adresa, podaci za prijavu, IP log aktivnosti. |
| Gosti događaja | Ime, prezime (ili nadimak), status RSVP-a, opciono telefon, broj pratilaca, napomene, izbor obroka ili drugi podaci koje je Rukovalac definisao kroz formular. |
| Fotografisana lica (kada je aktiviran modul galerije) | Fotografije sa događaja koje otpremi Rukovalac. |
Obrađivač ne obrađuje posebne kategorije podataka („osetljive podatke“) u smislu člana 9. GDPR-a; Rukovalac je dužan da ih ne unosi u platformu osim ako za to ne postoji valjan pravni osnov i dopunska izjava.
Obaveze obrađivača
Obrađivač se obavezuje da:
- obrađuje podatke isključivo po dokumentovanim uputstvima Rukovaoca (uključujući ove Uslove i DPA), osim kada obradu zahteva pravo EU ili Republike Srbije;
- obezbedi da su sva lica ovlašćena za obradu podataka obavezana obavezom poverljivosti;
- sprovodi tehničke i organizacione mere iz odeljka Tehničke i organizacione mere;
- ne angažuje nove sub-obrađivače bez prethodnog obaveštenja Rukovaoca sa rokom od 30 dana za podnošenje prigovora;
- uz razumnu saradnju pomaže Rukovaocu u ispunjavanju obaveza prema članovima 32–36. GDPR-a;
- obaveštava Rukovaoca bez odlaganja o svakom zahtevu organa vlasti za pristup podacima, osim ako zakon to izričito zabranjuje;
- po prestanku DPA vraća ili briše podatke prema izboru Rukovaoca, osim ako zakon ne zahteva dalje čuvanje.
Podugovaranje (sub-processors)
Rukovalac daje opštu pisanu saglasnost Obrađivaču za angažovanje sub-obrađivača u skladu sa ovim DPA. Trenutna lista sub-obrađivača navedena je u Aneksu A.
O svakoj izmeni liste Obrađivač obaveštava Rukovaoca najmanje 30 dana unapred putem e-maila ili obaveštenja u aplikaciji. Rukovalac može u tom roku uložiti obrazložen prigovor. U slučaju da strane ne postignu sporazum, Rukovalac ima pravo da raskine ugovor bez naknade štete.
Međunarodni prenos podataka
Prenos podataka van Evropskog ekonomskog prostora i Republike Srbije vrši se isključivo uz adekvatan mehanizam zaštite:
- Standardne ugovorne klauzule (SCCs) Evropske komisije u važećoj verziji;
- EU-US Data Privacy Framework gde je primenjivo;
- Zero Data Retention aneksi sa AI dobavljačima;
- Procena uticaja prenosa (TIA) za svaku treću zemlju sa ažurnim zapisom u internoj arhivi.
Tehničke i organizacione mere bezbednosti
Obrađivač sprovodi mere propisane članom 32. GDPR-a, uzimajući u obzir stanje tehnike, troškove primene i rizike za prava lica. Mere uključuju:
- Šifrovanje u prenosu i mirovanju (TLS 1.3, šifrovane rezervne kopije);
- Pseudonimizacija tamo gde je to opravdano (haš IP adresa za antispam);
- Razdvajanje okruženja produkcije, testa i razvoja sa zasebnim pristupom;
- Upravljanje privilegijama po principu najmanjeg mogućeg skupa prava (least privilege) + MFA za administratorski pristup;
- Praćenje integriteta i dostupnosti uključujući Sentry, logove i alarme;
- Plan reagovanja na incidente sa 72-časovnim rokom za obaveštavanje Poverenika;
- Redovne bezbednosne revizije i skeniranje zavisnosti;
- Obuku osoblja o zaštiti podataka.
Postupak u slučaju povrede podataka
Obrađivač obaveštava Rukovaoca o svakoj potvrđenoj povredi ličnih podataka bez nepotrebnog odlaganja, a najkasnije u roku od 48 časova od trenutka saznanja, kako bi Rukovalac ispunio obavezu iz člana 33. GDPR-a (72 časa prema nadzornom organu).
Obaveštenje sadrži najmanje:
- opis prirode povrede;
- kategorije i procenjeni broj pogođenih lica i zapisa;
- verovatne posledice i preduzete ili predložene mere za ublažavanje;
- kontakt osobu za dalju koordinaciju.
Pomoć rukovaocu oko zahteva lica
Obrađivač uz razumnu saradnju pomaže Rukovaocu da odgovori na zahteve lica za pristup, ispravku, brisanje, prenosivost i ograničenje obrade. Kada zahtev stigne direktno Obrađivaču, on će zahtev proslediti Rukovaocu u roku od 5 radnih dana, osim ako lice ne koristi samouslužne mehanizme platforme.
Pravo kontrole i revizije
Obrađivač stavlja Rukovaocu na raspolaganje sve informacije potrebne za dokazivanje usaglašenosti sa članom 28. GDPR-a. Rukovalac može jednom godišnje, uz pisanu najavu od 30 dana, sprovesti reviziju na licu mesta ili putem ovlašćenog revizora, pod uslovima:
- bez ometanja produkcijskog rada platforme;
- uz potpisivanje obaveze poverljivosti od strane revizora;
- o trošku Rukovaoca, osim u slučaju utvrđene materijalne povrede ovog DPA.
Obrađivač može umesto revizije na licu mesta dostaviti važeći izveštaj nezavisnog revizora (npr. SOC 2 ili ISO 27001 kontrole) TODO-LAWYER: prilagoditi stvarnom sertifikatu kad bude dostupan.
Vraćanje i brisanje podataka
Po raskidu DPA Obrađivač, prema izboru Rukovaoca, vraća sve podatke u strukturiranom formatu (JSON/CSV izvoz) ili ih briše u roku od 30 dana, osim podataka za koje zakon propisuje dalje čuvanje (računovodstvo).
Odgovornost i naknada štete
Odgovornost Obrađivača u vezi sa ovim DPA uređena je odeljkom „Ograničenje odgovornosti“ Uslova korišćenja. Ograničenja ne važe za namerno ili grubo nepažljivo postupanje i za slučajeve prinudne odgovornosti prema GDPR-u ili ZZPL-u.
Trajanje i raskid
DPA stupa na snagu trenutkom prihvatanja i važi za vreme dok Rukovalac poseduje aktivan nalog, te 30 dana nakon deaktivacije naloga ili dok se svi podaci ne obrišu u skladu sa članom Vraćanje i brisanje.
Nadležno pravo
Na ovaj DPA primenjuje se pravo Republike Srbije, uz prinudnu primenu GDPR-a tamo gde je to određeno. Nadležan je stvarno nadležan sud u Beogradu.
Aneks A — lista sub-obrađivača
Spisak sub-obrađivača i uloga po ovom DPA (TODO-LAWYER: uskladiti sa potpisanim ugovorima pre objavljivanja):
| Sub-obrađivač | Uloga | Lokacija | Mehanizam prenosa |
|---|---|---|---|
| Hetzner Online GmbH | Hosting, baza, keš, aplikacija | Nemačka (EU) | Adekvatnost (EU) |
| Paddle.com Market Limited | Obrada plaćanja (merchant-of-record); Paddle ima pristup fakturnim podacima, ne sadržaju pozivnica. | Ujedinjeno Kraljevstvo | Adekvatnost (UK) |
| Postmark (ActiveCampaign LLC) | Transakcioni e-mailovi | SAD (DPF) | EU-US DPF + SCCs |
| Anthropic PBC | AI generisanje teksta (opciono) | SAD | SCCs + Zero Data Retention aneks |
| Sentry (Functional Software, Inc.) | Beleženje tehničkih grešaka | SAD | EU-US DPF + SCCs |
| MinIO (self-hosted) | Objektno skladište slika, kompatibilno sa S3 | Nemačka (isti VPS kao aplikacija) | Adekvatnost (EU) |
TODO-LAWYER: Lista mora biti usklađena sa Politikom privatnosti i potpisanim DPAs sa svakim sub-obrađivačem. Automatsko generisanje ovog aneksa predviđeno je zasebnim pod-planom.