Ugovor o obradi podataka (čl. 28. GDPR-a)

Stanje: 5. svibnja 2026. Ovaj ugovor o obradi podataka („UOP“) konkretizira obveze iz čl. 28. GDPR-a. Sklapa se između poslovnog klijenta („voditelj obrade“) i Studio Apps Sp. z o.o. („izvršitelj obrade“) sklapanjem ugovora o hostingu web-stranice za rezervacije ili usporedivih usluga, ako se pritom obrađuju osobni podaci trećih strana.

§ 1 Predmet i trajanje

(1) Predmet UOP-a je obrada osobnih podataka koje voditelj obrade prepušta izvršitelju obrade na obradu u okviru dogovorenih usluga hostinga — osobito upita za rezervaciju koji pristižu putem obrasca web-stranice klijenta.

(2) UOP traje za vrijeme trajanja glavnog ugovora. Prestaje automatski prestankom usluga hostinga.

§ 2 Vrsta i svrha obrade

Pružanje i rad web-stranice za rezervacije, zaprimanje i pohrana upita za rezervaciju, slanje e-mailova s potvrdom i obavijesti voditelju obrade i krajnjim korisnicima, sigurnosni nadzor (obrana od neželjene pošte/botova).

§ 3 Kategorije podataka i ispitanici

Kategorije osobnih podataka: ime i prezime, e-mail adresa, telefonski broj (ako je naveden), datum/razdoblje željene rezervacije, broj osoba, poruka, tehnički metapodaci (IP adresa, korisnički agent, vremenska oznaka).

Kategorije ispitanika: krajnji korisnici (gosti/zainteresirani) web-stranice za rezervacije voditelja obrade.

§ 4 Obveze izvršitelja obrade

(1) Obrada isključivo prema dokumentiranoj uputi voditelja obrade.

(2) Povjerljivost: osobe koje sudjeluju u obradi obvezne su na povjerljivost, ako već ne podliježu odgovarajućoj zakonskoj obvezi čuvanja tajne.

(3) Primjerene tehničke i organizacijske mjere (TOM-ovi) u skladu s čl. 32. GDPR-a — vidi Prilog 1.

(4) Podrška voditelju obrade pri ostvarivanju prava ispitanika (čl. 12.-22. GDPR-a) te kod procjena učinka na zaštitu podataka (čl. 35. i sl. GDPR-a).

(5) Bezodgodna prijava povreda zaštite podataka voditelju obrade, najkasnije u roku od 48 sati od saznanja (radi poštivanja roka od 72 sata iz čl. 33. GDPR-a od strane voditelja obrade).

(6) Prema izboru voditelja obrade brisanje ili vraćanje svih osobnih podataka nakon prestanka pružanja usluga obrade, ako ne postoji obveza dulje pohrane.

(7) Stavljanje na raspolaganje svih potrebnih informacija za dokazivanje poštivanja obveza utvrđenih u čl. 28. GDPR-a.

§ 5 Podizvršitelji obrade

(1) Voditelj obrade suglasan je s korištenjem podizvršitelja obrade navedenih u Prilogu 2 (opće odobrenje u skladu s čl. 28. st. 2. reč. 1. GDPR-a).

(2) Kod namjeravanih izmjena u vezi s uključivanjem ili zamjenom podizvršitelja obrade voditelj obrade obavještava se najmanje 30 dana unaprijed (e-mailom na adresu navedenu u glavnom ugovoru). Voditelj obrade može se izmjeni usprotiviti u roku od 14 dana od primitka obavijesti iz opravdanih razloga. Kod opravdanog prigovora strane imaju pravo otkazati ugovor uz primjeren rok.

(3) Izvršitelj obrade sklapa sa svakim podizvršiteljem obrade ugovor s istom razinom zaštite podataka kao u ovom UOP-u.

§ 6 Međunarodni prijenosi

Prijenosi u treće zemlje (osobito SAD) obavljaju se isključivo na temelju standardnih ugovornih klauzula EU-a u skladu s Provedbenom odlukom 2021/914 (modul 3 — izvršitelj obrade prema podizvršitelju obrade) i dopunskih tehničkih i organizacijskih mjera te — ako je primjenjivo — Odluke o primjerenosti 2023/1795 (EU-US Data Privacy Framework).

§ 7 Prava na reviziju

(1) Izvršitelj obrade redovito dokazuje poštivanje ovog UOP-a aktualnim certifikatima (npr. ISO 27001 podizvršitelja obrade) i pisanim opisima TOM-ova. Oni se voditelju obrade stavljaju na raspolaganje na zahtjev.

(2) Kontrole na licu mjesta dopuštene su uz prethodnu najavu s primjerenim rokom (najmanje 30 dana) i tijekom uobičajenog radnog vremena. One ne smiju nerazmjerno ometati tekuće poslovanje. Za svaku kontrolu izvršitelj obrade voditelju obrade zaračunava paušalni iznos troškova; izuzete su kontrole zbog konkretnih naznaka povreda zaštite podataka.

§ 8 Odgovornost

Vrijede odredbe o odgovornosti iz glavnog ugovora (§ 15 Općih uvjeta poslovanja). U vanjskom odnosu strane odgovaraju ispitanicima u skladu s čl. 82. GDPR-a.

§ 9 Završne odredbe

(1) Kod proturječja između ovog UOP-a i glavnog ugovora odredbe ovog UOP-a imaju prednost u pitanjima zaštite podataka.

(2) Ako pojedine odredbe ovog UOP-a budu nevaljane, valjanost preostalih odredaba ostaje netaknuta.

Prilog 1 — Tehničke i organizacijske mjere (TOM-ovi)

• Povjerljivost (čl. 32. st. 1. t. b GDPR-a): kontrola pristupa na razini baze podataka putem Row-Level-Security (Supabase RLS). Autentifikacija jakim lozinkama i višefaktorskom autentifikacijom gdje je dostupna. Prava pristupa prema načelu nužnog znanja. Revizijski zapisi za administrativne radnje.
• Cjelovitost (čl. 32. st. 1. t. b GDPR-a): TLS 1.2+ na svim javnim krajnjim točkama; šifrirane veze s bazom podataka (TLS); kontrolni zbrojevi pri vraćanju sigurnosne kopije.
• Dostupnost (čl. 32. st. 1. t. b GDPR-a): dnevne automatske sigurnosne kopije s čuvanjem od 7 dana (Point-in-Time-Recovery). Hosting kod pružatelja s dokumentiranom visokom dostupnošću (Vercel, Supabase). Cilj dostupnosti: 99,5 % godišnje.
• Otpornost: Edge-CDN (Cloudflare) za obranu od DDoS-a; ograničavanje učestalosti na API krajnjim točkama; vatrozid za web-aplikacije.
• Enkripcija: podaci u mirovanju u bazi podataka — šifrirani (Storage-Encryption Supabase). Podaci u prijenosu — TLS.
• Pseudonimizacija: gdje je moguće korištenje UUID-ova umjesto govorećih oznaka; odvojena pohrana administrativnih identiteta.
• Postupak redovite provjere (čl. 32. st. 1. t. d GDPR-a): tromjesečne sigurnosne provjere; godišnje ažuriranje TOM-ova; automatske sigurnosne nadogradnje ovisnosti.
• Odvajanje: logičko odvajanje korisnika u bazi podataka; odvojena okruženja za produkciju i razvoj.

Prilog 2 — Odobreni podizvršitelji obrade

Aktualni UOP-ovi podizvršitelja obrade održava Studio Apps i mogu se pogledati na zahtjev.