Kreirajte nalog
Kreirajte nalog

Ugovor o obradi podataka

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Ovaj dokument je preveden radi vaše pogodnosti. U slučaju bilo kakve neusklađenosti, engleska verzija će imati prednost.

Ovaj Ugovor o obradi podataka ("DPA") čini dio ugovora između korisnika ("Rukovodilac obrade") i Skiwo AS, koji upravlja platformom Report Securely ("Obrađivač"), za pružanje usluga uzbunjivanja i sigurnog prijavljivanja ("Usluga").

Ovaj DPA se zaključuje u skladu sa zahtjevima člana 28 Opće uredbe o zaštiti podataka (EU) 2016/679 ("GDPR") i reguliše obradu ličnih podataka od strane Obrađivača u ime Rukovaoca obrade.

1. Definicije

Pojmovi korišteni u ovom DPA imaju isto značenje kao u GDPR-u osim ako nije drugačije definirano. "Lični podaci" znači bilo koji lični podaci koje Obrađivač obrađuje u ime Rukovaoca obrade u vezi sa Uslugom. "Podobrađivač" znači bilo koja treća strana koju Obrađivač angažuje za obradu ličnih podataka u ime Rukovaoca obrade.

2. Obim i svrha obrade

Obrađivač obrađuje lične podatke isključivo u svrhu pružanja Usluge Rukovaocu obrade, kako je opisano u glavnom ugovoru o usluzi i ovom DPA.

Kategorije subjekata podataka uključuju: prijavioce (uzbunjivače), osobe spomenute u prijavama, rukovaoce predmetima i ovlaštene korisnike unutar organizacije Rukovaoca obrade. Vrste ličnih podataka koji se obrađuju mogu uključivati: imena, kontakt podatke, sadržaj prijava, komunikaciju između prijavioca i rukovaoca predmetima, metapodatke predmeta i revizione zapise.

Trajanje obrade odgovara periodu glavnog ugovora o usluzi, plus bilo koji period čuvanja koji zahtijeva primjenjivi zakon ili je dogovoren između strana.

3. Obaveze Obrađivača

Obrađivač će:

  • Obrađivati Lične podatke samo na osnovu dokumentovanih instrukcija Rukovaoca, osim ako to zahtijeva primjenjivi zakon
  • Osigurati da su osobe ovlaštene za obradu Ličnih podataka vezane obavezama povjerljivosti
  • Implementirati odgovarajuće tehničke i organizacione mjere kako bi se osigurao nivo sigurnosti primjeren riziku
  • Ne angažovati drugog obrađivača (podobrađivača) bez prethodne pismene dozvole Rukovaoca
  • Pomoći Rukaocu u odgovaranju na zahtjeve subjekata podataka prema GDPR člancima 15–22
  • Pomoći Rukaocu u osiguravanju usklađenosti sa GDPR člancima 32–36 (sigurnost, obavještavanje o povredi, procjene uticaja)
  • Po izboru Rukovaoca, izbrisati ili vratiti sve Lične podatke nakon prestanka Usluge, osim ako je zadržavanje potrebno prema primjenjivom zakonu
  • Staviti na raspolaganje Rukaocu sve informacije potrebne za dokazivanje usklađenosti sa obavezama utvrđenim u ovom DPA-u i GDPR članku 28

4. Sigurnosne mjere

Obrađivač implementira i održava sljedeće tehničke i organizacijske sigurnosne mjere:

  • Enkripcija podataka u prijenosu (TLS 1.2 ili viša verzija) i u mirovanju (AES-256)
  • Kontrola pristupa zasnovana na ulogama sa principom najmanje privilegije
  • Revizijsko evidentiranje svih značajnih radnji unutar platforme
  • Redovno testiranje sigurnosti i procjene ranjivosti
  • Sigurne prakse razvoja softvera prema OWASP smjernicama
  • Automatske sigurnosne kopije sa enkriptovanim pohranom
  • Striktna sigurnosna zaglavlja (HSTS, CSP, X-Frame-Options)

Obrađivač redovno preispituje i ažurira ove mjere kako bi odražavale trenutno stanje tehnike te prirodu, obim i svrhe obrade.

5. Podobrađivači

Kontrolor daje opću ovlast Obrađivaču da angažuje podobrađivače, podložno uslovima iz ovog odjeljka.

Obrađivač će obavijestiti Kontrolora o svim planiranim promjenama koje se odnose na dodavanje ili zamjenu podobrađivača, dajući Kontroloru mogućnost da prigovori takvim promjenama.

Kada Obrađivač angažuje podobrađivača, mora nametnuti iste obaveze zaštite podataka kao što su navedene u ovom DPA putem ugovora, osiguravajući da podobrađivač pruža dovoljne garancije za implementaciju odgovarajućih tehničkih i organizacijskih mjera.

Obrađivač ostaje u potpunosti odgovoran Kontroloru za izvršenje obaveza podobrađivača.

6. Prijenos podataka

Svi lični podaci se pohranjuju i obrađuju unutar Evropskog ekonomskog prostora (EEA).

Obrađivač neće prenositi lične podatke u zemlju izvan EEA ili međunarodnoj organizaciji osim ako: (a) Rukovalac nije dao prethodnu pisanu dozvolu, i (b) odgovarajuće zaštitne mjere nisu uspostavljene u skladu sa GDPR Poglavlje V, kao što su EU standardne ugovorne klauzule ili odluka o adekvatnosti Evropske komisije.

7. Obavještenje o kršenju podataka

Obrađivač će obavijestiti Rukovaoca bez nepotrebnog odlaganja nakon što postane svjestan kršenja ličnih podataka koje utiče na lične podatke obrađene prema ovom DPA.

Obavještenje će uključivati: opis prirode kršenja, kategorije i približan broj pogođenih subjekata podataka, vjerovatne posljedice kršenja, i mjere poduzete ili predložene za rješavanje kršenja.

8. Pravo na reviziju

Obrađivač će staviti na raspolaganje Rukovaocu sve informacije potrebne za dokazivanje usklađenosti sa obavezama utvrđenim u GDPR Članu 28 i ovom DPA, i omogućit će i doprinijeti revizijama, uključujući inspekcije, koje provodi Rukovalac ili drugi revizor kojeg je ovlastio Rukovalac.

Revizije će se provoditi uz razumnu najavu i tokom redovnog radnog vremena, i neće nerazumno ometati poslovanje Obrađivača.

9. Brisanje i vraćanje podataka

Po prestanku Usluge, Obrađivač će, po izboru Rukovaoca, obrisati ili vratiti sve lične podatke Rukovaocu i obrisati postojeće kopije, osim ako primjenjivi zakon zahtijeva nastavak pohrane.

Rukovalac može zatražiti izvoz podataka u uobičajenom, mašinski čitljivom formatu prije prestanka.

10. Odgovornost

Odgovornost svake strane prema ovom DPA podliježe ograničenjima i izuzecima utvrđenim u glavnom ugovoru o usluzi između strana.

Ništa u ovom DPA ne ograničava odgovornost bilo koje strane za kršenja zakona o zaštiti podataka u mjeri u kojoj takva odgovornost ne može biti ograničena prema primjenjivom zakonu.

11. Mjerodavno pravo

Ovaj DPA se reguliše norveškim pravom. Bilo koji spor koji proizilazi iz ili u vezi sa ovim DPA podliježe isključivoj nadležnosti Okružnog suda u Oslu, osim ako obavezno pravo ne propisuje drugačije.

12. Kontakt

Za pitanja u vezi sa ovim DPA ili pitanja zaštite podataka, kontaktirajte:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com