Ugovor o obradi podataka (usklađen s GDPR-om)

Stupio na snagu od 1. svibnja 2018

1. Djelokrug i predmet sporazuma

Ova obrada podataka ("DPA") odražava sporazum stranaka u pogledu uvjeta koji uređuju obradu osobnih podataka u skladu s uvjetima pružanja usluge IBANCOM-a ("TOS"). Ovaj ugovor je izmjena i dopuna TOS-a i stupa na snagu nakon njegovog uključivanja u TOS, koja se može utvrditi u Narudžbi ili izvršenoj izmjeni TOS-a. Nakon uključivanja u TOS, DPA će činiti dio TOS-a.

2. Definicije

U ovom ugovoru:

(a) « Usluge » su usluge koje se pružaju klijentu u okviru TOS-a ;
(b) « Osobni podaci » označavaju sve podatke koji se odnose na identificiranu ili prepoznatljivu fizičku osobu("subjekt podataka");
(c) « Korisnik », « kontrolor » ili « vi » označava fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i načine obrade osobnih podataka;
(d) « Procesor », « IBANCOM » ili « mi » označava fizičku ili pravnu osobu, javnu vlast, agenciju ili drugo tijelo koje obrađuje osobne podatke u ime kontrolora;
(e) « Postupak/obrada » označava svaku radnju ili skup postupaka koji se obavljaju na osobnim podacima ili skupovima osobnih podataka, bilo da se radi o automatiziranim sredstvima, kao što su prikupljanje, snimanje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena otkrivanje, konzultacija, uporaba, otkrivanje prijenosom, širenje ili na drugi način stavljanje na raspolaganje, usklađivanje ili kombinacija, ograničavanje, brisanje ili uništenje ;
(f) « Postprocesor» ili « Podizvođač » označava podizvođača treće strane angažiranog od strane procesora koji kao dio uloge podizvođača za isporuku usluga obrađuje osobne podatke klijenta; ;
(g) « Tehničke i organizacijske sigurnosne mjere » podrazumijevaju one mjere kojima se osigurava razina sigurnosti koja odgovara riziku, uključujući pseudonimizaciju i šifriranje osobnih podataka, sposobnost da se osigura kontinuirana povjerljivost, cjelovitost, dostupnost i otpornost obrade sustava i usluga, sposobnost pravodobnog vraćanja dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta, proces redovitog testiranja, procjene i evaluacije učinkovitosti tehničkih i organizacijskih mjera za osiguranje sigurnosti obradu.
(h) “Zakoni O Zaštiti Podataka” podrazumijeva sve zakone i propise, uključujući zakone i propise Europske unije, Europskog ekonomskog prostora i njihovih država članica, primjenjive na obradu osobnih podataka prema Sporazumu.

3. Primjena ovog sporazuma

Ovaj se sporazum primjenjuje na:
a) sve podatke poslane od datuma ovog Ugovora od strane Korisnika na IBANCOM za obradu;
b) sve podatke kojima je IBANCOM pristupio na temelju ovlaštenja Korisnika za obradu od datuma ovog ugovora; i
c) sve podatke koje je IBANCOM inače primio na Obradu u ime Kupca;
u odnosu na Usluge.

4. Kategorije Osobnih Podataka i svrha Obrade Osobnih Podataka

Da bi izvršio Ugovor, a osobito za obavljanje Usluga u ime Korisnika, Korisnik ovlašćuje i zahtijeva da IBANCOM obradi sljedeće Osobne podatke: Informacije o korisniku : informacije koje možemo prikupiti iz vaše upotrebe web stranica IBANCOM-a i vaše interakcije s nama izvanmrežno kao što su:

• Kontakt informacije: ime, kućna adresa, broj telefona ili mobitela, adresa e-pošte i lozinke.
• Financijske informacije: broj kreditne kartice i podatke o naplati (porezni broj, broj PDV-a obveznika, adresa za naplatu, e-adresa za naplatu, gdje se fakture šalju) ; Broj kreditne kartice obrađuju Avangate (naš gateway za plaćanje), Paypal ili druge vrste plaćanja; IBANCOM naplaćuje samo kreditnu karticu za plaćanja.
• Pojedinosti kontakata o zapošljavanju, uključujući : naziv poslodavca, naziv i funkciju radnog mjesta, detalje o poslovnom kontaktu; IBANCOM se bavi informacijama o klijentima u skladu s našim općim pravilima o privatnosti.

Podaci o uslugama: podaci koji se nalaze na IBANCOM-u, korisnicima ili sustavima treće strane kojima je IBANCOM omogućio pristup uslugama.

• Podaci pohranjeni i obrađeni od strane korisnika, kao što su: podaci poslani za obradu, povijest operacija koje obavljaju korisnici.
• Informacije o zapisima dnevnika: IBANCOM sustav sprema tri vrste zapisa: zapisnici veza koji se u svakom pojedinom zahtjevu bitno prijavljuju iz svakog zahtjeva. Ti zapisi veza mogu uključivati ​​informacije kao što su web-zahtjev, adresa Internet protokola ("IP"), vrsta preglednika, stranice za preusmjeravanje / izlazak i URL-ove, broj klikova, nazive domena, odredišne ​​stranice, pregledane stranice i druge takve informacije. Druga vrsta zapisnika su aplikacijski zapisnici, koji su proizvedeni od strane našeg softvera tijekom obrade podataka. Zapisnici aplikacija bilježe sve ulazne podatke poslane za obradu na naše poslužitelje koji mogu pomoći IBANCOMu identificirati i dijagnosticirati izvor postojećih problema s sustavom i pomoći u predviđanju budućih problema.
IBANCOM obrađuje podatke o klijentu u skladu s uvjetima svoje politike zaštite privatnosti i tretira podatke o uslugama kao povjerljive u skladu s uvjetima Vaše narudžbe za usluge

Kategorije Podataka: Podaci obuhvaćaju predstavnike i krajnje korisnike, kao što su zaposlenici, izvođači, suradnici, partneri i klijenti Korisnika. Subjekti podataka također mogu uključivati ​​pojedince koji pokušavaju komunicirati ili prenijeti Osobne podatke korisnicima Usluga.

5. Odgovornost IBANCOM-a

IBANCOM će obrađivati ​​osobne podatke isključivo za pružanje Usluga i suglasan je :

• (a) obrađivati ​​i koristiti Osobne podatke u svrhe navedene u ovom Ugovoru ili samo na dokumentirane upute Kupca i bez ikakve druge namjene osim u slučaju izričite prethodne pismene suglasnosti Korisnika, ili
• (b) ne otkrivati ​​podatke trećim stranama, osim onih zaposlenika, agenata i kooperanata koji su uključeni u obradu podataka i podložni su obvezujućim obvezama ili izuzev zahtjeva bilo kojeg zakona ili propisa;
• (c) provoditi odgovarajuće tehničke i organizacijske mjere za zaštitu podataka od neovlaštenog ili nezakonitog postupanja ili slučajnog gubitka, uništavanja ili oštećenja, te uzimajući u obzir stanje tehnološkog razvoja i trošak provedbe bilo koje mjere, takve mjere osiguravaju razinu sigurnosti koja odgovara štetnosti koja može proizaći iz neovlaštene ili nezakonite obrade ili slučajnog gubitka, uništenja ili oštećenja i prirode podataka koji se žele zaštititi;
• (d) obavijestiti Korisnika što je prije moguće u slučaju da Subjekti podataka podnesu bilo koje od svojih prava iz zakona o zaštiti podataka , te, ako je potrebno, pomoći Korisniku u ispunjavanju obveze i odgovoranju na te zahtjeve u pogledu poduzetih mjera predviđenih u članku 7 ;
• (e) ne obrađivati ili ne prenositi podatke izvan Europske unije osim u slučaju izričite prethodne pisane ovlasti Klijenta i osigurati da se takvi prijenosi izvrše u skladu s odgovarajućim propisima.

6. Odgovornost Korisnika

Korisnik Usluge, kao Kontrolor Podataka, mora prihvatiti odgovornost za pridržavanje važećih zakona o zaštiti podataka. Odnosno, Korisnik je dužan procijeniti zakonitost obrade osobnih podataka pohranjenih na Platformi.

Korisnik se slaže da će u svakom trenutku osigurati usklađenost s primjenjivim zakonom o zaštiti podataka, a osobito Korisnik će osigurati da bilo kakvo otkrivanje osobnih podataka koje je izvršio IBANCOM jest izvršeno uz pristanak subjekta podataka ili je u skladu sa zakonom. Kontrola osobnih podataka ostaje kod Korisnika, a između Korisnika i IBANCOM-a, Korisnik će u svakom trenutku ostati kontrolor podataka za potrebe Usluga, TOS-a i ovog Ugovora o obradi podataka. Korisnik je odgovoran za poštivanje svojih obveza kao kontrolora podataka prema važećem Zakonu o zaštiti podataka, posebno za opravdanje bilo kojeg prijenosa osobnih podataka u IBANCOM (uključujući davanje obavijesti i dobivanje potrebnih suglasnosti).

7. Prava Subjekta Podataka

IBANCOM će Korisniku omogućiti elektronički pristup platformi okruženju koja sadrži Osobne podatke kako bi se omogućilo korisnikovo brisanje, oslobađanje, ispravljanje ili blokiranje pristupa određenim osobnim podacima ili, ako to nije izvedivo iu mjeri u kojoj to dopušta važeći zakon, upute za brisanje, puštanje, ispravljanje ili blokiranje pristupa osobnim podacima.

IBANCOM će proslijediti Korisniku sve zahtjeve pojedinih podataka kojima je moguće izbrisati, oslobađati, ispraviti ili blokirati osobne podatke obrađene u skladu s Ugovorom.

8. Prekogranični prijenos podataka

IIBANCOM tretira sve osobne podatke na način koji je u skladu sa zahtjevima primjenjivog zakona o zaštiti podataka i ovog Ugovora o obradi podataka na svim lokacijama na globalnoj razini.

IBANCOM pohranjuje podatke u podatkovnim centrima u Njemačkoj kojim upravlja sa svojim podizvođačem Hetzner Online GmbH

Industriestr. 25
91710 Gunzenhausen
Deutschland
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3

Podatkovni centri se nalaze u
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


S obzirom na osobne podatke koje čuva IBANCOM podatkovni centri u EEA-u dužni su osigurati sukladnost njegovih potprocesora sa zahtjevima primjenjivog zakona o zaštiti podataka kako slijedi::
• (i) IBANCOM je sklopio ugovore s potprocesorima koji predviđaju da će Potprocesor preuzeti obvezu zaštite podataka i povjerljivosti u skladu s primjenjivim zakonima o zaštiti podataka;
• (ii) nadalje, kada potprocesor obrađuje osobne podatke u zemlji ili iz zemlje koja nije primila nalog "adekvatnosti", IBANCOM će zahtijevati da potprocesor izvrši klauzule modela koji sadrže sigurnosne zahtjeve koji su u skladu s ovim DPA-om.

9. Potprocesuiranje

IBANCOM ne smije podugovoriti niti jedan od svojih poslova obrade u ime Klijenta temeljem Ugovora i TOS-a bez prethodne pismene suglasnosti Korisnika.

Kada IBANCOM podugovori svoje obveze temeljem Ugovora, uz suglasnost Korisnika, to će to učiniti samo pisanim ugovorom s postprocesorom koji nameće iste obveze prema postprocesoru koji su nametnuti IBANCOM-u prema Sporazumu. Ako postprocesor ne ispuni svoje obveze zaštite podataka pod takvim pismenim ugovorom, IBANCOM će ostati u potpunosti odgovoran Naručitelju za obavljanje obveza postprocesora prema takvom sporazumu.

Naručitelj kao kontrolor podataka može zatražiti da IBANCOM provjeri Potprocesora ili pruži potvrdu da je takva revizija izvršena (ili, gdje je moguće, dobije ili asistira Kontroloru Podataka u nabavi izvješća o reviziji treće strane o poslovanju Potprocesora) kako bi se osiguralo poštivanje takvih obveza. Kontrolor će također imati pravo na pisani zahtjev primiti kopije relevantnih uvjeta IBANCOM sporazuma s postprocesorima koji mogu obrađivati ​​osobne podatke, osim ako ugovor sadrži povjerljive informacije, u tom slučaju IBANCOM može pružiti redakciju verzije ugovora.

Odredbe koje se odnose na aspekte zaštite podataka za potprocesuiranje ugovora iz stavka 1. uređuju se zakonom države članice u kojoj je klijent uspostavljen.

10. Tehničke I Organizacijske Mjere

Prilikom obrade osobnih podataka u ime Korisnika u svezi s Uslugama, IBANCOM će osigurati provođenje i održavanje usklađenosti s odgovarajućim tehničkim i organizacijskim mjerama sigurnosti za obradu takvih podataka. Sukladno tome, IBANCOM će provesti sljedeće mjere:

• a) Kako bi spriječio neovlaštene osobe da dobiju pristup sustavu obrade podataka u kojima se obrađuju osobni podaci (fizička kontrola pristupa), IBANCOM će poduzeti mjere kako bi spriječio fizički pristup, kao što je sigurnosno osoblje i osiguranje zgrade i tvornice.
• b) Kako bi se spriječilo neovlašteno korištenje sustava za obradu podataka (kontrola pristupa sustavu), između ostalih kontrola može se primijeniti, ovisno o određenim uslugama: provjera autentičnosti putem lozinki i prijava pristupa na više razina.
Za API usluge hostirane na IBANCOM: (i) logičan pristup podatkovnim centrima ograničen je i zaštićen vatrozidom / VLAN; i (ii) primjenjuju se sljedeći sigurnosni procesi: centralizirano bilježenje i uzbunjivanje, i (iii) vatrozid.
• c) osigurati da osobe koje imaju pravo koristiti sustav obrade podataka imaju pristup Osobnim podacima kojima imaju pravo pristupa i da se osobni podaci ne mogu čitati, kopirati, mijenjati ili ukloniti bez odobrenja tijekom obrade i / ili nakon skladištenja (kontrola pristupa podacima), Osobni podaci dostupni su i njima upravlja samo pravilno ovlašteno osoblje, izravan je pristup upita za baze podataka ograničen, a prava pristupa aplikaciji su uspostavljena i provedena.

Osim gore navedenih pravila kontrole pristupa, IBANCOM implementira politiku pristupa prema kojoj kontrolor podataka nadzire pristup svojim okruženjima API Usluge i osobnim podacima i drugim podacima od strane ovlaštenog osoblja.

• d) osigurati da se osobni podaci neovlašteno ne čitaju, kopiraju, mijenjaju ili uklanjaju bez odobrenja tijekom elektronskog prijenosa ili transporta te da je moguće provjeriti i utvrditi na koja tijela se predviđa prijenos osobnih podataka putem sredstava za prijenos podataka (kontrola prijenosa), IBANCOM će udovoljiti sljedećim zahtjevima: Osim ako nije drugačije navedeno za usluge API-ja, prijenos podataka izvan okruženja usluge je šifriran (HTTPS). Sadržaj komunikacija (uključujući adrese pošiljatelja i primatelja) koji se šalju putem nekih usluga e-pošte ili slanja poruka možda neće biti šifrirani nakon primanja takvih usluga. Kontrolor podataka isključivo je odgovoran za rezultate odluke o korištenju ne-kriptiranih komunikacija ili prijenosa.
• e) Kako bi se osigurala mogućnost provjere i utvrđivanje jesu li i od koga su uneseni Osobni podaci u sustave za obradu podataka, izmijenjeni ili uklonjeni (ulazna kontrola), IBANCOM će udovoljiti sljedećim zahtjevima: Izvor osobnih podataka je pod kontrolom Korisnika, a integracijom osobnih podataka u sustav upravlja se osiguranim prijenosom datoteka (tj. putem web usluga ili unesenih u aplikaciju) od strane Korisnika.
• f) osigurati da su osobni podaci zaštićeni od slučajnog uništavanja ili gubitka: redovito se rade sigurnosne kopije; sigurnosne kopije su šifrirane i osigurane.
• g) Kako bi se osiguralo da se Osobni podaci koji se prikupljaju u različite svrhe mogu odvojeno obrađivati, podaci iz različitih okruženja kontrolora podataka logički su odijeljeni na IBANCOM sustavima.

11. Prava Na Reviziju

Klijent može napraviti reviziju IBANCOM-a o ispunjenju uvjeta Sporazuma i ovog Ugovora o obradi podataka jednom godišnje.

Korisnik može obavljati češće revizije Usluga računalnih sustava koji obrađuju osobne podatke u mjeri u kojoj to zahtijevaju zakoni primjenjivi na Kupca. Ako treća strana provodi reviziju, treća strana se mora uzajamno složiti i mora izvršiti pisani sporazum o povjerljivosti prihvatljivoj IBANCOM-u prije provođenja revizije.

Da bi zatražio reviziju, Klijent je dužan predati detaljni plan revizije najmanje 4 tjedna prije predloženog datuma revizije koji opisuje predloženi opseg, trajanje i datum početka revizije. IBANCOM će pregledati plan revizije i dostaviti kontroloru podataka bilo kakva pitanja (na primjer, bilo koji zahtjev za informacijama koji bi mogao ugroziti sigurnost, privatnost ili politiku zapošljavanja).

Revizijska izvješća su Povjerljivi podaci stranaka prema uvjetima Sporazuma. Sve revizije su na računu kontrolora podataka.

Svaki zahtjev za pružanje pomoći IBANCOM-u za reviziju smatra se zasebnom uslugom ako takva revizija zahtijeva korištenje različitih ili dodatnih resursa. IBANCOM će zatražiti pisano odobrenje i sporazum od strane kontrolora podataka da plati sve povezane naknade prije izvršenja takve revizijske pomoći.

12. Obavijest O Upravljanju Incidentima I Prekršajima

IBANCOM procjenjuje i reagira na incidente koji stvaraju sumnju na neovlašteni pristup ili na obradu osobnih podataka.

Korisnik je obaviješten o takvim incidentima i, ovisno o prirodi aktivnosti, definira putove eskalacije i timove za odgovor na rješavanje tih incidenata. IBANCOM će raditi s klijentom, s odgovarajućim tehničkim timovima i, gdje je to potrebno, vanjskim tijelima za provođenje zakona kako bi reagirali na incident. Cilj odgovora incidenta bit će vratiti povjerljivost, integritet i dostupnost okruženja Usluge te utvrditi uzroke i korake uklanjanja.

Osoblje IBANCOM-a upućuje se na reagiranje na incidente u kojima je rukovanje osobnim podacima možda neovlašteno.

IBANCOM će bez nepotrebnog kašnjenja obavijestiti Korisnika nakon što postane svjestan kršenja osobnih podataka. IBANCOM će odmah istražiti svako sigurnosno kršenje i poduzeti razumne mjere kako bi utvrdila njezin temeljni uzrok i spriječilo ponavljanje. Budući da se podaci prikupljaju ili na neki drugi način postaju dostupni, osim ako to nije zabranjeno zakonom, IBANCOM će Kontroloru Podataka dati opis kršenja sigurnosti, vrstu podataka koji su bili predmet kršenja i druge informacije koje kontrolor podataka može razumno zatražiti . Stranke se slažu da će se u dobroj vjeri uskladiti razvoj sadržaja svih povezanih javnih izjava ili svim potrebnih obavijesti za pogođene osobe.

13. Obvezno Objavljivanje Podataka

Osim ako nije drugačije propisano zakonom, IBANCOM će odmah obavijestiti Korisnika o bilo kojem sudskom, upravnom ili arbitražnom nalogu izvršne ili upravne agencije ili druge vladine ovlasti ("zahtjev") koje prima i koja se odnosi na Osobne podatke IBANCOM Obrada na ime Korisnika. Na zahtjev kupca, IBANCOM će pružiti razumne podatke u svom posjedu koji mogu odgovarati na zahtjev i bilo kakvu pomoć potrebnu Korisniku da pravodobno odgovori na zahtjev. Korisnik priznaje da IBANCOM nema nikakvu odgovornost za interakciju izravno sa subjektom koji postavlja zahtjev.

14. Obveza nakon raskida usluga za osobnu obradu podataka

Stranke su suglasne da će, po prestanku pružanja usluga obrade podataka, IBANCOM učiniti dostupnim za preuzimanje ili na drugi način vratit će Osobne podatke Kupca koji su pohranjeni u okruženju Platforme, osim ako zakonodavstvo nametnuto strankama ne sprječava vraćanje ili uništavanje cijelog ili dijela prijenosa osobnih podataka. U tom slučaju, stranke jamče da će jamčiti povjerljivost prenesenih osobnih podataka i više neće aktivno obrađivati ​​prenesene osobne podatke.

15. Mjerodavno pravo

Ovaj ugovor će biti uređen zakonom države članice u kojoj je klijent uspostavljen.