Obrada podataka o ličnosti

 

Preambula

Prema Zakonu o zaštiti podataka o ličnosti (ZZPL) (“Sl. glasnik RS”, br. 87/2018) YOUNIFY D.O.O NIŠ, Vožda Karađorđa br. 5/14, Niš, matični broj: 20657367, PIB: 106674472 (Younify) ima poziciju Primaoca podataka u odnosu na podatke koje obradjuje u ime svojih Klijenata, koji su na poziciji Davalaca podataka.

Ugovor o obradi podataka o ličnosti predstavlja dopunu osnovnog Ugovora sa Klijentima.

1.Definicije

1.1       Sledeće reči izrazi upotrebljeni u ovom ugovoru imaju značenje kako je navedeno u ovom članu:

1.2       “podatak o ličnosti” je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;

1.3       “lice na koje se podaci odnose” je fizičko lice čiji se podaci o ličnosti obrađuju;

1.4       “obrada” je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje;

1.5       “povreda podataka o ličnosti” je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani;

1.6       „ZZPL“ označava Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018)

2.Obrada

2.1       Primalac podataka se obavezuje da će obraditi sve podatke u skladu sa ZZPL-om i drugim važećim zakonima i drugim propisima. Priroda i svrha obrade, vrste podatka o ličnosti i kategorije lica na koje se podaci odnose sadržani su u Dodatku II uz ovaj ugovor.

2.2       Primalac podataka može obraditi podatke samo u skladu sa dokumentovanim uputstvima Davaoca podataka. Uputstva navedena u ovom tekstu su sadržana u Osnovnom ugovoru ili mogu biti sadržana u drugom pisanom aktu zaklјučenom ili razmenjenom između Davaoca podataka i Primaoca podataka.

2.3       Ništa u ovom Ugovoru neće podrazumevati prenos vlasništva nad podacima na Primaoca podataka ili bilo koju treću stranu.

2.4       Davalac podataka jamči da su podaci o ličnosti dobijeni u skladu sa važećim zakonima i drugim propisima i da obrada koju Davalac podataka traži ne krši nijedan važeći zakon ili drugi propis.

2.5       Podaci koje Primalac podataka obrađuje uključuju takve podatke koje Davalac podataka traži od slučaja do slučaja. Primalac podataka ne obrađuje posebne kategorije podataka definisane članom 17. ZZPL.

2.6       Podaci o ličnosti se mogu obrađivati samo tokom trajanja ovog Ugovora.

3.Ovlašćena lica

3.1       Primalac podataka treba da obezbedi da svi zaposleni i druga lica koja posluju pod nadležnošću Primaoca podataka budu vezani strogim sporazumom o poverljivosti pre nego što im se obezbedi pristup podacima o ličnosti.

3.2       Primalac podataka treba da preduzme korake kako bi osigurao da svako lice koje deluje pod nadležnošću Primaoca podataka i ima pristup podacima o ličnosti, ne obrađuje podatke o ličnosti osim u skladu sa uputstvima Davaoca podataka.

4. Sigurnost

4.1       Uzimajući u obzir nivo tehnoloških dostignuća, troškove primene i prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica koji proizilaze iz obrade, Primalac podataka će primeniti odgovarajuće tehničke i organizacione mere za osiguranje nivoa sigurnosti primerene riziku, uključujući između ostalog po potrebi:

  • sposobnost da se obezbedi stalna poverljivost, integritet, dostupnost i otpornost obrađivačkih sistema i usluga;
  • sposobnost pravovremenog vraćanja dostupnosti i pristupa podacima u slučaju fizičkog ili tehničkog incidenta;
  • postupak za redovno testiranje i ocenu efikasnosti tehničkih i organizacionih mera za osiguranje bezbednosti obrade.

4.2       Prilikom procene odgovarajućeg nivoa bezbednosti uzimaju se u obzir naročito rizici koji su predstavljeni obradom, posebno od slučajnog ili nezakonitog uništenja, gubitka, promene, neovlašćenog otkrivanja ili pristupa podacima koji se prenose, čuvaju ili na drugi način obrađuju.

5. Drugi obrađivači

5.1       Davalac podataka je saglasan da Primalac podataka može angažovati druge obrađivače. Primalac podataka može na zahtev Davaoca podataka obavestiti istog o svim nameravanim promenama koje se tiču dodavanja ili zamene drugih obrađivača, pružajući tako Davaocu podataka mogućnost da prigovori takvim promenama. Davalac podataka može podneti prigovor na promene drugih obrađivača u pisanom obliku u roku od petnaest (15) dana od prijema obaveštenja o promenama.

5.2       Ako Primalac podataka angažuje drugog obrađivača za obavljanje određenih aktivnosti obrade u ime Davaoca podataka, iste obaveze zaštite podataka kao što su utvrđene u ovom Ugovoru nameću se tom drugom obrađivaču putem ugovora ili drugog pravnog akta, pružajući dovoljne garancije da se prilikom obrade sprovede odgovarajuće tehničke i organizacione mere na način da obrada udovolji zahtevima važećih zakona i propisa. Ako drugi obrađivač ne ispuni svoje obaveze u pogledu zaštite podataka, Primalac podataka ostaje u potpunosti odgovoran Davaocu podataka za izvršavanje obaveza drugog obrađivača.

6. Prava lica na koje se podaci odnose

6.1       Uzimajući u obzir prirodu obrade, Primalac podataka pomaže Davaocu podataka primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera, koliko je to moguće, u ispunjavanju obaveza Davaoca podataka u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnoseu skladu sa ZZPL.

6.2       Primalac podataka će:

  • blagovremeno obavestiti Davaoca podataka ako Primalac podataka ili drugi obrađivač primi zahtev od lica na koje se podaci odnose prema ZZPL ili drugom važećem zakonu ili propisu u vezi sa podacima; i
  • obezbediti da Primalac podataka ili drugi obrađivač ne odgovore na taj zahtev, osim na dokumentovanim uputstvima Davaoca podataka ili kako to zahtevaju primenljivi zakoni kojima podležu Primalac podataka ili drugi obrađivač, u kojem slučaju će Primalac podataka u meri koju primenjivi zakon dozvoljava obavesti Davaoca podataka o tom zakonskom zahtevu pre nego što Primalac podataka ili drugi obrađivač odgovori na zahtev.

7. Povreda podataka

7.1       Primalac podataka će bez odlaganja obavestiti Davaoca podataka nakon saznanja za postojanje povrede podataka o ličnosti, pružajući Davaocu podataka dovoljno informacija kako bi Davaocu podataka omogućio ispunjavanje bilo kakvih obaveza da izveštava ili obavesti nadležne organe i lica na koje se podaci odnose o povredi podataka gde je to potrebno.

7.2       Primalac podataka sarađuje sa Davaocem podataka i preduzima razumne komercijalne korake koje zahteva Davalac podataka za pomoć u istrazi, ublažavanju i saniranju svake takve povrede podataka.

8. Procena uticaja na zaštitu podataka i prethodna konsultacija

8.1       Primalac podataka pruža razumnu pomoć Davaocu podataka u bilo kojoj proceni uticaja na zaštitu podataka i prethodnim konsultacijama sa nadležnim organima za privatnost podataka, za koje Davalac podataka opravdano smatra da se zahtevaju ZZPL ili ekvivalentne odredbe bilo kog drugog važećeg zakona, u svakom posebnom slučaju isključivo u pogledu obradom podataka od strane Primaoca podataka, uzimajući u obzir prirodu obrade i informacije koje su Primaocu podataka na raspolaganju.

9. Brisanje ili povratak podataka

9.1       U skladu sa odelјcima 9.2 i 9.3, Primalac podataka i svaki drugi obrađivač, ako postoje, odmah i u svakom slučaju, u roku od trideset (30) dana od dana prestanka bilo koje usluge koja uklјučuje obradu podataka („Datum prekida“), izbrisati i obezbediti brisanje svih kopija tih podataka o ličnosti.

9.2       U skladu sa odelјkom 9.3, Davalac podataka može u svojoj apsolutnoj diskreciji pisanim obaveštenjem Primaocu podataka u roku od sedam (7) dana od Datuma prekida zahtevati da Primalac podataka i svaki drugi obrađivač, ako postoji, vrate kompletnu kopiju svih podataka Davaocu podataka putem siguranog prenosa podataka u takvom formatu koji razumno zahteva Davalac podataka ili zahtevati da Primalac podataka i bilo koji drugi obrađivač zadrže podatke o ličnosti i nakon isteka roka iz člana 9.1; i

9.3       Primalac podataka može zadržati podatke u onoj meri u kojoj je to potrebno u skladu sa važećim zakonima i samo u onoj meri u kojoj je to zahtevano važećim zakonima i uvek pod uslovom da Primalac podataka obezbeđuje poverlјivost svih takvih podataka i obezbeđuje da takvi podaci budu obrađeni samo koliko je to neophodno za ostvarivanje svrhe (cilјeva) navedenih u važećim zakonima koji zahtevaju takvo skladištenje podatka i za druge svrhe se ne mogu obrađivati.

9.4       Primalac podataka će na pisani zahtev Davaoca podataka nakon isteka roka iz odelјka 9.1 dostaviti pisanu potvrdu Davaocu podataka da je Primalac podataka u potpunosti ispunio obaveze iz ovog člana 9 izdat.

10. Pravo kontrole

10.1     U skladu sa odredbama ovog člana 10, Primalac podataka će učiniti dostupnim Davaocu podataka sve informacije koje su neophodne za predočavanje ispunjenosti obaveza Primaoca podataka propisanih ovim Ugovorom, kao i informacije koje omogućavaju i doprinose kontroli rada Primaoca podataka, koju sprovodi Davalac podataka ili drugo lice koje on za to ovlasti. Sve troškove kontrole snosi Davalac podataka i one se moraju zakazati najmanje mesec dana unapred. Davalac podataka može započeti kontrolu samo ako je obezbedio menicu ili bezbedonosni depozit koji će služiti nadoknadi gubitka ili moguće štete koju mogu prouzrokovati kontrola i revizija, poput prestanka pružanja usluga ili radnog vremena Primalaca (i zaposlenih kod Primalaca) provedenog u reviziji i kontroli. Iznos menice ili bezbedonosnog depozita unapred se dogovara sa Primaocem podataka.

11. Završne odredbe

11.1     Svako pitanje koje nije regulisano ovim Ugovorom će se regulisati Osnovnim ugovorom ili bilo kojim nalogom koji je zaklјučen ili razmenjen između strana u ovom Ugovoru.

11.2     Ako se utvrdi da je bilo koji deo ovog Ugovora nevažeći, nezakonit ili neprovediv u bilo kojem pogledu, to neće uticati na valјanost ili izvršlјivost ostatka Ugovora.

11.3     Svako neizvrašavanje ili neprimenjivanje bilo kog prava ili odredbe ovog Ugovora ne predstavlјa odricanje od takvog prava ili odredbe.

11.4     Naslovi članova Ugovora dati su samo radi praktičnosti i nemaju poseban pravni ili ugovorni efekat.

Svrha obrade podataka od strane Primaoca podataka u ime Davaoca podataka je:

  • Pružanje usluga Davaocu podataka od strane Primaoca podataka.

Obrada podataka od strane Primaoca podataka, u ime Davaoca podataka bi trebalo pretežno da se odnosi na (sama priroda obrade) :

  • Primalac podataka (Younify) obrađuje podatke u ime Davaoca podataka, i to se uglavnom odnosi na:
  • obradu informacija o korisnicima/klijentima Davaoca podataka, čuvanje sadržaja na serverima Primaoca podataka ili serverima koji pripadaju trećoj strani sa kojom Primalac podataka ima zaključen sporazum, kao i sakupljanje i statističku obradu informacija o korisnicima/klijentima Davaoca podataka.

Obrada uključuje sledeću vrstu podataka o ličnosti koji se tiču lica na koje se podaci odnose:

  • Ime, adresa elektronske pošte (E-mail), adresa, informacije o plaćanju, kao i druge informacije o korisnicima/klijentima određene od strane samog Davaoca podataka i po prirodi usluga koje se traže od Primalaca podataka.

Obrada uključuje sledeće kategorije lica na koje se podaci odnose:

  • lica koja koriste usluge Davaoca podataka, lica koja su uključena u ciljno tržište Davaoca podataka kao i sve druge informacije o klijentima određenim od strane samog Davaoca podataka.

Obrada podataka od strane Primaoca podataka u ime Davaoca podataka može se početi kada ovaj Ugovor o obradi podataka počne da proizvodi pravno dejstvo. Trajanje obrade je sledeće:

  • Obrada neće biti vremenski ograničena i vršiće se sve dok Ugovor o obradi podataka ne bude raskinut obostrano, ili od strane jedne od ugovornih strana. Postoje periodi čišćenja striktno definisani za svaki prenos podataka i obradu koji mogu biti izmenjeni po nalogu Davaoca podataka.