Ugovor o obradi osobnih podataka

Voditelj obrade: pravna ili fizička osoba koja je otvorila račun na platformi Book1more kao Davatelj usluge (npr. salon, obrt, samozaposleni stručnjak), bilo putem trial signupa na /probaj ili kreiranjem računa od strane super-administratora.

Izvršitelj obrade: STATIM d.o.o. za računalne djelatnosti, usluge i turistička agencija, OIB 42874121079, sa sjedištem na adresi Sarajevska 46D, 21000 Split, Hrvatska.

Voditelj obrade prihvaća ovaj DPA klikom na CTA “Pošalji mi link” tijekom registracije, odnosno prihvatom Uvjeta korištenja pri kreiranju računa. DPA stupa na snagu danom prihvata i ostaje na snazi dok god je račun Voditelja obrade aktivan na platformi.

Izvršitelj obrade obrađuje osobne podatke isključivo radi pružanja usluge platforme Book1more (online rezervacije, kalendar termina, SMS i email obavijesti, eventualno online plaćanje, AI glasovni agent ako je aktiviran) Voditelju obrade.

Trajanje obrade odgovara trajanju ugovornog odnosa između strana (aktivni račun na platformi), uz dodatne rokove čuvanja propisane zakonom ili dogovorom (vidi t. 9).

Izvršitelj obrade ne obrađuje posebne kategorije podataka(čl. 9 GDPR — zdravlje, vjersko uvjerenje, političko mišljenje i sl.). Voditelj obrade je odgovoran ne unositi takve podatke u sustav (npr. medicinske dijagnoze u polje “Napomene”).

Izvršitelj obrade obvezuje se da će:

• osobne podatke obrađivati isključivo na temelju dokumentiranih uputa Voditelja obrade — što za potrebe ovog DPA-a uključuje konfiguraciju koju Voditelj obrade postavi u admin panelu (radno vrijeme, usluge, djelatnici, SMS postavke i sl.) te postavke privatnosti tenant-a;
• osigurati da osobe ovlaštene za obradu osobnih podataka (osoblje Izvršitelja obrade) ugovorno preuzmu obvezu čuvanja povjerljivosti ili da ih obvezuje odgovarajuća zakonska obveza čuvanja tajne;
• provoditi sve tehničke i organizacijske mjere iz čl. 32. GDPR-a navedene u t. 7 ovog DPA-a;
• pomagati Voditelju obrade odgovarajućim tehničkim i organizacijskim mjerama pri ispunjavanju zahtjeva ispitanika za ostvarivanje njihovih prava (pristup, ispravak, brisanje, prenosivost) — kroz funkcionalnosti dostupne u admin panelu i, ako te ne pokriju zahtjev, kroz dodatnu suradnju u razumnom roku;
• obavijestiti Voditelja obrade bez nepotrebnog odlaganja, a najkasnije unutar 72 sata od saznanja, o povredi osobnih podataka koja se tiče podataka tog Voditelja obrade, uz informacije propisane čl. 33. GDPR-a;
• po odluci Voditelja obrade po prestanku usluge ili izbrisati ili vratiti sve osobne podatke i izbrisati postojeće kopije, osim ako pravo Unije ili države članice zahtijeva pohranjivanje osobnih podataka (vidi t. 9);
• staviti na raspolaganje Voditelju obrade sve informacije potrebne za dokazivanje poštivanja obveza iz ovog DPA-a i čl. 28. GDPR-a, te omogućiti revizije.

Voditelj obrade ovim DPA-om daje opću pisanu suglasnost Izvršitelju obrade za angažiranje daljnjih izvršitelja navedenih u nastavku, kao i za promjene popisa uz prethodnu obavijest (najavu objavljujemo na ovoj stranici uz datum stupanja na snagu).

Izvršitelj obrade je s navedenim daljnjim izvršiteljima sklopio odgovarajuće ugovore koji im nameću jednake obveze zaštite podataka kao što ih ovaj DPA nameće Izvršitelju obrade. Voditelj obrade ima pravo prigovoriti na svaku najavljenu promjenu u roku od 14 dana; u slučaju neslaganja, ima pravo raskinuti ugovor o korištenju platforme.

Primarna pohrana podataka je u EU regiji (Supabase, AWS Frankfurt / Irska). Pojedini daljnji izvršitelji (Stripe, SendGrid, Google, Cloudflare) mogu obrađivati podatke i izvan EGP-a (npr. SAD). U tim slučajevima prijenos se osigurava na temelju Standardnih ugovornih klauzula EU Komisije (SCCs) i, ako primjenjivo, EU-US Data Privacy Frameworka.

Izvršitelj obrade primjenjuje sljedeće mjere:

• enkripcija svih podataka u prijenosu (TLS 1.2+),
• enkripcija osjetljivih podataka u mirovanju (passwordi se pohranjuju kao bcrypt hash, baza se enkriptira na razini diska),
• kontrola pristupa po principu najmanje privilegije; multi-faktorska autentikacija za administratore Izvršitelja obrade,
• izolacija podataka po tenant-u (svaki Voditelj obrade vidi isključivo svoje podatke kroz autorizacijski sloj),
• redovne sigurnosne kopije s mogućnošću obnove (point-in-time recovery),
• logovi pristupa i izmjena podataka, čuvani za potrebe revizije,
• redoviti pregledi ovisnosti i sigurnosnih zakrpa,
• incident response procedura (vidi t. 4 — obavijest o povredi).

Ispitanici (klijenti i djelatnici Voditelja obrade) ostvaruju svoja prava iz GDPR-a (pristup, ispravak, brisanje, ograničenje obrade, prenosivost, prigovor) primarno preko Voditelja obrade. Voditelj obrade može za zahtjeve klijenata koristiti funkcionalnosti admin panela (izvoz podataka, anonimizacija klijenta).

Ako klijent uputi zahtjev direktno Izvršitelju obrade, Izvršitelj obrade će zahtjev proslijediti Voditelju obrade bez nepotrebnog odlaganja te će pružiti razumnu pomoć u njegovom ispunjavanju.

Po prestanku usluge (raskid, isteklost, brisanje računa):

• operativni podaci tenant-a (klijenti, rezervacije, kalendar) brišu se sa svih live sustava unutar 30 dana,
• Voditelj obrade može u roku tih 30 dana zatražiti izvoz podataka u strukturiranom formatu (CSV / JSON) bez naknade,
• podaci se mogu zadržati u backupima do 90 dana radi sigurnosti i kontinuiteta usluge — backupi se rotiraju i automatski brišu,
• podaci potrebni radi izvršenja zakonskih obveza (računi, porezna evidencija) zadržavaju se onoliko koliko propisuje primjenjivo pravo (čl. 6. st. 1. t. (c) GDPR).

Svaka strana odgovara za štetu koju prouzroči kršenjem ovog DPA-a ili GDPR-a, sukladno čl. 82. GDPR-a. Ukupna odgovornost Izvršitelja obrade prema Voditelju obrade po pitanju obrade osobnih podataka ograničena je do iznosa od dvanaest (12) mjesečnih naknada koje je Voditelj obrade platio u 12 mjeseci prije nastanka štete, osim u slučaju namjere ili krajnje nepažnje, čime se ne isključuju obvezujuće zakonske odredbe o odgovornosti.

Ovaj DPA stupa na snagu danom prihvata Uvjeta korištenja i ostaje na snazi za vrijeme trajanja ugovornog odnosa.

Izvršitelj obrade može jednostrano izmijeniti DPA radi usklađenja s propisima ili objektivnih operativnih razloga; o materijalnim izmjenama obavještava Voditelje obrade najmanje 14 dana prije stupanja na snagu (na ovoj stranici i emailom). Nastavak korištenja platforme nakon stupanja izmjena na snagu znači prihvat izmjena.

Mjerodavno je pravo Republike Hrvatske. U slučaju spora nadležan je stvarno nadležan sud u Splitu.

Za sva pitanja vezana uz obradu osobnih podataka: Ante Radović, email info@book1more.com.