Napravite nalog
Napravite nalog

Ugovor o obradi podataka

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Ovaj dokument je preveden radi vaše pogodnosti. U slučaju bilo kakve neusaglašenosti, engleska verzija ima prednost.

Ovaj Ugovor o obradi podataka ("DPA") čini deo ugovora između klijenta ("Rukovaoc") i Skiwo AS, koji upravlja Report Securely platformom ("Obrađivač"), za pružanje usluga prijavljivanja nepravilnosti i bezbednog izveštavanja ("Usluga").

Ovaj DPA se zaključuje u skladu sa zahtevima člana 28 Opšte uredbe o zaštiti podataka (EU) 2016/679 ("GDPR") i reguliše obradu ličnih podataka od strane Obrađivača u ime Rukovaoca.

1. Definicije

Termini korišćeni u ovom DPA imaju isto značenje kao u GDPR-u osim ako nije drugačije definisano. "Lični podaci" označavaju sve lične podatke koje Obrađivač obrađuje u ime Rukovaoca u vezi sa Uslugom. "Podobrađivač" označava bilo koje treće lice koje Obrađivač angažuje za obradu Ličnih podataka u ime Rukovaoca.

2. Obim i svrha obrade

Obrađivač obrađuje Lične podatke isključivo u svrhu pružanja Usluge Rukovaocu, kako je opisano u glavnom ugovoru o usluzi i ovom DPA.

Kategorije subjekata podataka uključuju: prijavioce (zviždače), osobe pomenute u prijavama, rukovaoce predmetima i ovlašćene korisnike unutar organizacije Rukovaoca. Vrste ličnih podataka koji se obrađuju mogu uključivati: imena, kontakt podatke, sadržaj prijava, komunikaciju između prijavioca i rukovaoca predmetima, metapodatke predmeta i evidencije revizije.

Trajanje obrade odgovara periodu važenja glavnog ugovora o usluzi, plus bilo koji period čuvanja koji zahteva primenljivi zakon ili je dogovoren između strana.

3. Obaveze obrađivača

Obrađivač je dužan da:

  • Obrađuje lične podatke isključivo na osnovu dokumentovanih uputstava rukovaoca, osim ako je to zakonom propisano
  • Obezbedi da lica ovlašćena za obradu ličnih podataka budu vezana obavezom poverljivosti
  • Primeni odgovarajuće tehničke i organizacione mere kako bi obezbedio nivo sigurnosti primeren riziku
  • Ne angažuje drugog obrađivača (podobrađivača) bez prethodne pismene saglasnosti rukovaoca
  • Pruži pomoć rukovaocu u odgovaranju na zahteve lica na koja se podaci odnose prema GDPR članovima 15–22
  • Pruži pomoć rukovaocu u obezbeđivanju usklađenosti sa GDPR članovima 32–36 (sigurnost, obaveštavanje o povredi, procene uticaja)
  • Po izboru rukovaoca, obriše ili vrati sve lične podatke po prestanku pružanja usluge, osim ako je čuvanje propisano važećim zakonom
  • Stavi na raspolaganje rukovaocu sve informacije neophodne za dokazivanje usklađenosti sa obavezama utvrđenim ovim DPA i GDPR članom 28

4. Bezbednosne mere

Obrađivač implementira i održava sledeće tehničke i organizacione bezbednosne mere:

  • Šifrovanje podataka u prenosu (TLS 1.2 ili viši) i u mirovanju (AES-256)
  • Kontrola pristupa zasnovana na ulogama sa principom najmanje privilegije
  • Reviziono evidentiranje svih značajnih radnji unutar platforme
  • Redovno testiranje bezbednosti i procene ranjivosti
  • Prakse bezbednog razvoja softvera prema OWASP smernicama
  • Automatske rezervne kopije sa šifrovanim skladištenjem
  • Striktni bezbednosni zaglavlja (HSTS, CSP, X-Frame-Options)

Obrađivač redovno pregleda i ažurira ove mere kako bi odražavale trenutno stanje tehnike i prirodu, obim i svrhe obrade.

5. Podobrađivači

Rukovalac daje opštu ovlašćenje Obrađivaču da angažuje podobrađivače, pod uslovom uslova iz ovog odeljka.

Obrađivač će obavestiti Rukovaoca o svim planiranim promenama koje se odnose na dodavanje ili zamenu podobrađivača, dajući Rukovaocu mogućnost da prigovori takvim promenama.

Kada Obrađivač angažuje podobrađivača, mora nametnuti iste obaveze zaštite podataka kao što je navedeno u ovom Ugovoru o obradi podataka putem ugovora, obezbeđujući da podobrađivač pruža dovoljne garancije za implementaciju odgovarajućih tehničkih i organizacionih mera.

Obrađivač ostaje u potpunosti odgovoran Rukovaocu za izvršenje obaveza podobrađivača.

6. Prenos podataka

Svi lični podaci se čuvaju i obrađuju u okviru Evropskog ekonomskog prostora (EEA).

Obrađivač neće prenositi lične podatke u zemlju van EEA ili međunarodnoj organizaciji osim ako: (a) Rukovalac nije dao prethodnu pismenu dozvolu, i (b) odgovarajuće zaštitne mere nisu uspostavljene u skladu sa GDPR Poglavlje V, kao što su EU standardne ugovorne klauzule ili odluka o adekvatnosti Evropske komisije.

7. Obaveštenje o povredi podataka

Obrađivač će obavestiti Rukovaoca bez nepotrebnog odlaganja nakon što postane svestan povrede ličnih podataka koja utiče na lične podatke obrađene prema ovom DPA.

Obaveštenje će sadržati: opis prirode povrede, kategorije i približan broj subjekata podataka na koje se odnosi, verovatne posledice povrede, i mere preduzete ili predložene za rešavanje povrede.

8. Pravo na reviziju

Obrađivač će staviti na raspolaganje Rukovaocu sve informacije neophodne za dokazivanje usklađenosti sa obavezama utvrđenim u GDPR članu 28 i ovom DPA, i omogućiće i doprineti revizijama, uključujući inspekcije, koje sprovodi Rukovalac ili drugi revizor kojeg je ovlastio Rukovalac.

Revizije će se sprovoditi uz razumno obaveštenje i tokom redovnog radnog vremena, i neće nerazumno ometati poslovanje Obrađivača.

9. Brisanje i vraćanje podataka

Po prestanku usluge, Obrađivač će, po izboru Rukovaoca, obrisati ili vratiti sve lične podatke Rukovaocu i obrisati postojeće kopije, osim ako primenljivi zakon zahteva nastavak čuvanja.

Rukovalac može zatražiti izvoz podataka u uobičajenom, mašinski čitljivom formatu pre prestanka ugovora.

10. Odgovornost

Odgovornost svake strane prema ovom DPA podleže ograničenjima i izuzecima utvrđenim u glavnom ugovoru o usluzi između strana.

Ništa u ovom DPA ne ograničava odgovornost bilo koje strane za kršenje zakona o zaštiti podataka u meri u kojoj takva odgovornost ne može biti ograničena prema primenljivom zakonu.

11. Merodavno pravo

Ovaj DPA se reguliše norveškim pravom. Svaki spor koji proizilazi iz ili u vezi sa ovim DPA biće predmet isključive nadležnosti Okružnog suda u Oslu, osim ako obavezno pravo ne predviđa drugačije.

12. Kontakt

Za pitanja u vezi sa ovim DPA ili pitanja zaštite podataka, kontaktirajte:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com