• Gallery Post

GDPR (Iznajmljivači)

Opći uvjeti obrade podataka između Euro Tours i Pružatelja usluga


U daljnjem tekstu: OU


Sukladno odredbi članka 28. stavka 3. Uredbe 2016/679 (u daljnjem tekstu: Uredba) Voditelj obrade
i Izvršitelj obrade, pojedinačno „stranka”, zajedno „stranke”, danom potpisa Ugovora, u potpunosti
pristaju na odredbe ovih OU radi ispunjavanja zahtjeva Uredbe i osiguranja zaštite prava ispitanika


PREAMBULA


Predmetnim OU utvrđuju se prava i obveze stranaka prilikom obrade podataka u ime Voditelja
obrade.


Cilj ovih klauzula je osigurati postupanje stranaka u skladu s člankom 28. stavkom 3. Uredbe (EU)
2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom
osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive
95/46/EZ (Opća uredba o zaštiti podataka).


U kontekstu izvršenja obveza Voditelja obrade sukladno Pravilniku o načinu vođenja popisa turista
te obliku i sadržaju obrasca prijave turista turističkoj zajednici, Pravilnika o sustavu eVisitor, te
Zakona o računovodstvu, Izvršitelj obrade podataka obrađivati će osobne podatke u ime Voditelja
obrade podataka.


Odredbe ovih OU imaju prednost u odnosu na sve slične odredbe drugih sporazuma među
strankama.


Ovim OU su priložena četiri Dodatka koja čine njihov sastavni dio.
Dodatak A sadrži pojedinosti o obradi osobnih podataka, uključujući svrhu i prirodu obrade, vrstu
osobnih podataka, kategoriju ispitanika i trajanje obrade.
Dodatak B sadrži uvjete koje je utvrdio Voditelj obrade podataka i pod kojima Izvršitelj obrade
podataka može angažirati pod-izvršitelje kao i popis pod-izvršitelja koje je odobrio Voditelj obrade
podataka.


Dodatak C sadrži upute Voditelja obrade podataka u pogledu obrade osobnih podataka, minimalnih
sigurnosnih mjera koje mora provesti Izvršitelj obrade podataka te upute o provođenju revizije nad
Izvršiteljem obrade podataka i svim pod-izvršiteljima.


Obje stranke moraju čuvati klauzule zajedno s dodatcima u pisanom obliku, uključujući i elektronički.
Odredbe ovih OU ne izuzimaju Izvršitelja obrade podataka od obveza kojima podliježe u skladu s
Uredbom ili drugim relevantnim pravnim propisima kojima se uređuje predmetna materija.


ODREDBE


Prava i obveze Voditelja obrade podataka


Članak 1.


Voditelj obrade podataka odgovoran je osigurati da se obrada osobnih podataka odvija u skladu s
relevantnim odredbama Uredbe, propisima EU-a, države članice i ovim klauzulama.
Voditelj obrade ima pravo obvezu donositi odluke o svrhama i sredstvima obrade osobnih podataka.
Voditelj obrade odgovoran je, među ostalim, osigurati da obrada osobnih podataka koja se povjerava
Izvršitelju obrade ima pravnu osnovu.
Prava i obveze Izvršitelja obrade podataka


Članak 2.


Izvršitelj obrade podataka obrađuje osobne podatke samo u skladu s dokumentiranim uputama
Voditelja obrade podataka, osim ako to zahtijeva pravo Europske unije ili države članice kojem
podliježe Izvršitelj obrade podataka.


Upute iz prethodnog stavka navedene su u Dodacima A i C.
Dodatne upute Voditelj obrade podataka može dati i za vrijeme obrade osobnih podataka, ali ih
uvijek mora dokumentirati i čuvati u pisanom obliku, uključujući elektronički.
Izvršitelj obrade podataka mora odmah obavijestiti Voditelja obrade podataka u slučaju da smatra
da njegove upute nisu u skladu s odredbama Uredbe ili primjenjivim odredbama Europske unije ili
države članice.


Izvršitelj obrade podataka odobrava pristup osobnim podatcima koji se obrađuju u ime Voditelja
obrade podataka samo osobama koje su se obvezale na povjerljivost ili koje podliježu zakonskoj
obvezi povjerljivosti i samo na temelju načela nužnog poznavanja.
Popis osoba kojima je odobren pristup potrebno je periodično pregledavati, te ažurirati sukladno
potrebama u odnosnom trenutku.
Izvršitelj obrade podataka mora na zahtjev Voditelja obrade podataka dokazati da navedene osobe
podliježu obvezi povjerljivosti.


Sigurnost obrade


Članak 3.


Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade,
kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, stranke su dužne
provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu
sigurnosti s obzirom na rizik.


Voditelj obrade podataka je dužan procjenjivati rizike za prava i slobode pojedinaca koji proizlaze iz
obrade podataka te provoditi mjere za ublažavanje tih rizika.
Ovisno o relevantnosti, mjere mogu uključivati sljedeće:

  • a. pseudonimizaciju i enkripciju osobnih podataka;
  • b. sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i
    usluga obrade;
  • c. sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima
    u slučaju fizičkog ili tehničkog incidenta;
  • d. proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i
    organizacijskih mjera za osiguravanje sigurnosti obrade.


Neovisno o Voditelju obrade, Izvršitelj obrade je dužan procjenjivati rizike za prava i slobode
pojedinaca koji proizlaze iz obrade podataka i provoditi mjere za ublažavanje tih rizika.
U smislu prethodnog stavka, Voditelj obrade je dužan Izvršitelju obrade pružati sve informacije
potrebne za utvrđivanje i procjenu tih rizika.


Izvršitelj obrade dužan je pružati informacije Voditelju obrade informacije o tehničkim i
organizacijskim mjerama koje provodi, kao i druge informacije potrebne Voditelju obrade u
ispunjavanju svojih obveza sukladno Uredbi.


Stranke će u Dodatku C navesti koje dodatne mjere Izvršitelj obrade ima provoditi u svrhu
ublažavanja utvrđenih rizika za prava i slobode pojedinaca.


Angažiranje pod-izvršitelja


Članak 4.


Izvršitelj obrade podataka mora ispuniti zahtjeve navedene u članku 28. stavcima 2. i 4. Uredbe kako
bi mogao angažirati drugog izvršitelja (pod-izvršitelja).
Izvršitelj obrade stoga ne smije angažirati pod-izvršitelja radi izvršenja obveza preuzetih ovim OU
bez prethodnog posebnog odobrenja u pisanom obliku, koje može biti povučeno u svako doba.
Izvršitelj obrade je dužan podnijeti zahtjev za posebno odobrenje najmanje 30 dana prije
angažiranja.


Popis pod-izvršitelja koje je Voditelj obrade podataka već odobrio nalazi se u Dodatku B.
Ukoliko Izvršitelj obrade angažira pod-izvršitelja za obavljanje određenih poslova obrade u ime
Voditelja obrade podataka, ugovorom ili drugim pravnim aktom u skladu s pravom Europske unije ili
države članice određuju se obveze pod-izvršitelja u pogledu zaštite podataka koje su jednake
obvezama navedenih ovim OU, a posebice se moraju pružiti dostatna jamstva za provedbu
primjerenih tehničkih i organizacijskih mjera tako da obrada ispunjava zahtjeve iz predmetnih OU i
Uredbe.


Izvršitelj obrade podataka dužan je zahtijevati da se pod-izvršitelj pridržava barem obveza kojima
podliježe Izvršitelj obrade podataka sukladno predmetnim OU i Uredbi.


Primjerak ugovora s pod-izvršiteljem i naknadnih izmjena mora se, na njegov zahtjev, bez odgode,
dostaviti Voditelju obrade.


Klauzule o pitanjima koja se odnose na poslovanje, a koja ne utječu na normativni sadržaj zaštite
osobnih podataka u ugovoru s pod-izvršiteljem, ne moraju se dostaviti Voditelju obrade.
Izvršitelj obrade podataka dužan je sa pod-izvršiteljem ugovoriti klauzulu po kojoj Voditelj obrade, u
slučaju stečaja Izvršitelja obrade, stupa na njegovo mjesto u takvom ugovoru i ima pravo izvršiti
ugovor u odnosu na pod-izvršitelja.


Izvršitelj obrade podataka snosi potpunu odgovornost prema Voditelju obrade podataka u pogledu
ispunjenja obveza pod-izvršitelja.
Prethodno navedene odredbe ovoga članka ne utječu na prava ispitanika predviđena u člancima 79.
i 82. Uredbe, u odnosu na Voditelja obrade i Izvršitelja obrade.


Prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama
Članak 5.
Svaki prijenos podataka trećim zemljama ili međunarodnim organizacijama koji provodi Izvršitelj
obrade podataka obavlja se isključivo na temelju dokumentiranih uputa Voditelja obrade podataka,
te sukladno poglavlju V. Uredbe.


U slučaju da je prema zakonima Europske unije ili države članice kojima podliježe Izvršitelj obrade
podataka potreban prijenos podataka u treće zemlje ili međunarodne organizacije, za koji Izvršitelj
obrade nije dobio upute od Voditelja obrade, Izvršitelj obrade je dužan obavijestiti Voditelja obrade
o toj zakonskoj obvezi prije obrade ako to nije zakonom zabranjeno zbog važnih razloga od javnog
interesa.


Bez dokumentiranih uputa od Voditelja obrade, Izvršitelj obrade podataka ne smije:

  • a. prenijeti osobne podatke pravnim ili fizičkim osobama u trećoj zemlji ili u međunarodnoj
    organizaciji
  • b. prenijeti obradu osobnih podataka na pod-izvršitelja u trećoj zemlji,
  • c. povjeriti obradu osobnih podataka izvršitelju obrade u trećoj zemlji.

Upute Voditelja obrade o prijenosu osobnih podataka u treću zemlju, uz primjenu relevantnih odredbi
iz poglavlja V. Uredbe, navedene su u Dodatku C.


Pomoć Voditelju obrade


Članak 6.


Uzimajući u obzir prirodu obrade, Izvršitelj obrade je dužan Voditelju obrade pomagati
poduzimanjem odgovarajućih tehničkih i organizacijskih mjera, ako je to moguće, u ispunjenju
obveza Voditelja obrade u odgovaranju na zahtjeve za izvršenje prava ispitanika utvrđenih u
poglavlju III. Uredbe.


Navedeno u prethodnom stavku podrazumijeva da Izvršitelj obrade mora, koliko je to moguće,
pomoći Voditelju obrade u sljedećem:


a. poštovanju prava na informiranost prilikom prikupljanja osobnih podataka od ispitanika;
Stranica 5 od 13
b. poštovanju prava na informiranost u slučaju kad osobni podaci nisu prikupljeni od ispitanika;
c. poštovanju prava ispitanika na pristup;
d. poštovanju prava na ispravak;
e. poštovanju prava na brisanje („pravo na zaborav”);
f. poštovanju prava na ograničenje obrade;
g. poštovanju obveze obavješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili
ograničenjem obrade;
h. poštovanju prava na prenosivost podataka;
i. poštovanju prava na prigovor;
j. poštovanju prava ispitanika da ne podliježe odlukama koje se temelje na automatiziranoj
obradi, uključujući profiliranje.


Uz obvezu Izvršitelja obrade za pružanje pomoći Voditelju obrade u skladu sa prethodna dva stavka
ovog članka, Izvršitelj obrade podataka je dužan, uzimajući u obzir prirodu obrade i informacije mu
dostupne, pomoći Voditelju obrade u sljedećem:


a. ispunjenju obveze Voditelja obrade da bez odgode, a najviše 72 sata nakon saznanja o
štetnom događaju, prijavi povredu osobnih podataka nadležnom tijelu, osim ako nije
vjerojatno da će povreda osobnih podataka rezultirati opasnošću za prava i slobode fizičkih
osoba;
b. ispunjenju obveze Voditelja obrade da bez nepotrebnog odgađanja obavijesti ispitanika o
povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visok
rizik za prava i slobodne pojedinaca;
c. ispunjenju obveze Voditelja obrade da procijeni učinak predviđenih postupaka obrade na
zaštitu osobnih podataka (procjena učinka zaštite osobnih podataka);
d. ispunjenju obveze Voditelja obrade da se prije obrade savjetuje s nadležnim nadzornim
tijelom ako se procjenom učinka zaštite podataka pokaže da bi obrada prouzročila visok rizik
ne poduzme li Voditelj obrade mjere za ublažavanje rizika.
Stranke će u Dodatku C definirati odgovarajuće tehničke i organizacijske mjere kojima Izvršitelj
obrade treba pomoći Voditelju obrade, kao i područje i opseg potrebne pomoći u obvezama potonjeg
iz prethodnih stavaka ovog članka.


Izvješćivanje o povredi osobnih podataka


Članak 7.


U slučaju povrede osobnih podataka, Izvršitelj obrade je, čim sazna o povredi, o tome dužan bez
odgode obavijestiti Voditelja obrade, a najkasnije u roku od 1 radni dan od saznanja.
Voditelj obrade će, nakon što ga o tome obavijesti Izvršitelj obrade, obavijestiti nadzorno tijelo o
štetnom događaju, ukoliko su, za to, ispunjeni uvjeti iz ovih OU, te članka 33. Uredbe.


Sukladno odredbi članka 6 stavak 3. točka a. ovih OU, Izvršitelj obrade je, prilikom slanja obavijesti
o štetnom događaju, obvezan pomagati Voditelju obrade u prikupljanju informacija, koje je potonji
dužan navesti u obavijesti o nastanku štetnog događaja nadležnom tijelu, sukladno obvezi iz članka
33. stavak 3. Uredbe:


a. priroda osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih
ispitanika, te kategorije i približan broj dotičnih evidencija osobnih podataka;
b. vjerojatne posljedice povrede osobnih podataka;
Stranica 6 od 13
c. mjere koje je Voditelj obrade poduzeo ili predložio da se poduzmu za rješavanje problema
povrede osobnih podataka, uključujući, po potrebi, mjere za ublažavanje njezinih mogućih
štetnih učinaka.


Stranke će Dodatkom D utvrditi sve elemente koje je Izvršitelj obrade dužan dostaviti Voditelju
obrade prilikom prijave povrede osobnih podataka nadležnom tijelu.


Brisanje i vraćanje podataka


Članak 8.


Nakon prestanka pružanja usluga obrade osobnih podataka, Izvršitelj obrade obvezan je izbrisati
sve osobne podatke koje je obradio u ime Voditelja obrade i potvrditi brisanje osim ukoliko drugačije
nije određeno ovim OU, propisima Europske unije ili države sjedišta Voditelja obrade.
Izvršitelj obrade obvezuje se obrađivati osobne podatke isključivo u svrhe i u trajanju predviđenom
ovim OU, Uredbom ili relevantnim pravnim propisima.


Revizija i inspekcija


Članak 9.


Izvršitelj obrade dužan je pružati Voditelju obrade sve informacije potrebne za ispunjenje obveza iz
članka 28. Uredbe, kao i predmetnih OU, te omogućiti i surađivati u revizijama i inspekcijama koje
provodi Voditelj obrade ili drugi revizor kojeg je ovlastio Voditelj obrade.
Postupci primjenjivi na revizije i inspekcije navedeni su u Dodatku C.
Izvršitelj obrade obvezan je pružiti nadležnim tijelima pristup fizičkim objektima Izvršitelja obrade uz
predočenje odgovarajuće identifikacije.


Dodatne odredbe


Članak 10.


Stranke mogu ugovoriti dodatne međusobne obveze koje se odnose na pružanje usluga obrade
osobnih podataka, kojima se utvrđuje, primjerice, odgovornost, pod uvjetom da te klauzule nisu u
izravnoj ili neizravnoj suprotnosti s predmetnim odredbama i ne narušavaju temeljna ljudska prava
ili slobode ispitanika i zaštitu koju im pruža Uredba.


Stupanje na snagu i prestanak


Članak 11.


Ovi OU za stranke stupaju na snagu na dan sklapanja Ugovora, te dijeli pravnu sudbinu Ugovora, a
općenito se u poslovanju Izvršitelja obrade primjenjuju od dana posljednje objave.
Obje stranke imaju pravo zahtijevati ponovno pregovaranje u vezi s predmetnim odredbama ako je
to potrebno radi izmjena propisa kojima se uređuje predmetna materija ili neprikladnosti određenih
odredbi.


Za vrijeme trajanja pravnog odnosa zasnovanog Ugovorom, primjenu ovih OU nije moguće isključiti,
osim u slučaju da stranke sklope ugovor kojim se uređuje predmetna materija.
Izvršitelj obrade će izmjene objaviti.


Kontakt osobe stranaka


Članak 12.


Stranke mogu međusobno komunicirati putem sljedećih podataka za kontakt/kontaktnih točaka:


(i) Za Izvršitelja obrade Alen Babić, Službenik za zaštitu osobnih podataka, broj mobitela:
098/1336202, office@euro-tours.net.
(ii) Za Izvršitelja obrade naznačeno u Ugovoru.


Stranke su obvezne kontakt podatke držati ažurno, te bez odgode javljati jedna drugoj eventualne
izmjene.


Završne odredbe


Članak 13.


Predmetni OU sačinjeni su na hrvatskom jeziku i latiničnom pismu.


Dodatak A


Informacije o obradi


Članak 1.


Izvršitelj obrade obrađuje podatke u ime Voditelja obrade svrhu izvršenja obveza Voditelja obrade
sukladno Pravilniku o načinu vođenja popisa turista te obliku i sadržaju obrasca prijave turista
turističkoj zajednici, Pravilnika o sustavu eVisitor, te Zakona o računovodstvu, te međusobnih
ugovornih obveza.


Članak 2.


Obrada osobnih podataka koju provodi Izvršitelj obrade u ime Voditelja obrade uglavnom se odnosi
izvršenje zakonskih obveza Izvršitelja obrade, te ugovornih obveza među strankama i Gostom.
Članak 3.


Obrada uključuje sljedeće kategorije osobnih podataka o ispitanicima:


a. ime i prezime
b. prebivalište ili uobičajeno boravište
c. Spol
d. Datum rođenja
e. Državljanstvo
f. Podaci o bankovnim karticama
g. E-mail adresa
h. Broj mobitela
i. Provjera putnih isprava


Članak 4.


Obrada uključuje sljedeće kategorije Ispitanika:
a. turisti


Članak 5.
Obrada osobnih podataka dozvoljena je za svo vrijeme trajanja OU, osim ukoliko nešto drugo nije
propisano relevantnim pravnim propisima.


Članak 6.
Obrada kategorija osobnih podataka traje za vrijeme određeno Pravilnikom o načinu vođenja popisa
turista te obliku i sadržaju obrasca prijave turista turističkoj zajednici, Pravilnika o sustavu eVisitor,
te Zakona o računovodstvu, za vrijeme trajanja potrebe za obradom, te na vrijeme određeno drugim
relevantnim pravnim propisima kojima se uređuje predmetna materija.


Članak 7.


Dodatak dijeli pravnu sudbinu OU.

Dodatak B
Ovlašteni pod-izvršitelji
Odobreni pod-izvršitelji


Članak 1.


Voditelj obrade odobrava angažiranje sljedećih pod-izvršitelja:


(i) Infobip d.o.o. Vodnjan, Istarska 157, PDV Broj: 29756659895, svrhu slanja SMS poruka
fizičkim osobama,
(ii) MicroBlink d.o.o. Zagreb, Strojarska cesta 20, PDV Broj: 21173725829 u svrhu
skeniranja osobnih identifikacijskih dokumenata fizičkih osoba i slanjem informacija
nadležnim državnim tijelima,
(iii) Worldline Bezons, 80 quai Voltaire, River Ouest, u svrhu procesuiranja online naplate
(iv) BeeRent d.o.o. Rovinj, Zorzetti 3, OIB: 65741753571, u svrhu unosa Smještaja i spajanja
na kanale prodaje,
(v) Adriano Bratović, vl. obrta "Izvor", Poreč, Vrsarska 13, OIB: 61475916207, u svrhu
prikupljanja i obrade osobnih podataka Ispitanika koji dolaze sa Internet stranice koju
administrira.


Članak 2.
Izvršitelj obrade nema pravo angažirati pod-izvršitelja za obradu koja se razlikuje od dogovorene
obrade niti angažirati drugog pod-izvršitelja za provođenje opisane obrade, bez izričitog pismenog
odobrenja, Voditelja obrade.


Članak 3.
Izvršitelj obrade ima pravo zatražiti izmjenu ili dodavanje pod-izvršitelja u svako doba.


Članak 4.
Voditelj obrade je dužan odlučiti o zahtjevu u roku od 5 radnih dana, u protivnom se smatra da je
pristao na zahtjev.


Članak 5.
Ukoliko Voditelj obrade odbije zahtjev, Izvršitelj obrade ima pravo raskinuti pravni odnos zasnovan
Ugovorom, ukoliko bez odobrenja ne može uredno vršiti svoje usluge.


Članak 6.
Dodatak dijeli pravnu sudbinu OU.

Dodatak C
Upute za upotrebu osobnih podataka
Predmet i upute za obradu


Članak 1.
Izvršitelj obrade provodi obradu podataka u ime Voditelja obrade na način da elektroničkim putem
dobije osobne podatke na obradu.


Sigurnost obrade


Članak 2.


Uzimajući u obzir da se radi o osobnim podacima fizičkih osoba, razina sigurnosti mora u
elektroničkom obliku sadržavati antivirusnu zaštitu, vatrozid, računala zaštićena korisničkim imenom
i lozinkom, podatke se smije slati isključivo kroz službene stranica nadležnih tijela, u papirnatom
obliku, Izvršitelj obrade dužan je održavati fizičku razinu sigurnosti uobičajenu u pravnom prometu.
Izvršitelj obrade obvezan je donositi odluke o tehničkim i organizacijskim sigurnosnim mjerama koje
se moraju poduzeti radi postizanja potrebne (i ugovorene) razine sigurnosti podataka.
Izvršitelj obrade je dužan održavati minimalne uvjete za provedbu relevantnih odredbi Uredbe: (i)
izraditi i držati ažurnom kompletnu dokumentaciju koja se tiče zaštite osobnih podataka, osobito
vodeći računa o uputama nadležnog tijela o navedenoj materiji, (ii) održavati tehničke mjere zaštite
uredskog prostora, (iii) održavati elektroničke mjere zaštite, (iv) educirati zaposlenike o svim
mjerama zaštite, (v) vršiti povremeni nadzor nad radom zaposlenika u smislu zaštite osobnih
podataka.


Izvršitelj obrade dužan je pridržavati se svih mjera zaštite osobnih podataka u mjeri uobičajenoj u
poslovnoj praksi gospodarske djelatnosti kojom se bavi, te u istom smislu angažirati pod-izvršitelje.
Izvršitelj obrade će čuvati osobne podatke isključivo u mjeri potrebnoj za obavljanje svoje djelatnosti,
a nakon čega, dokumente u pisanom obliku vraća Voditelju obrade, a podatke u elektroničkom obliku
čuva za vrijeme trajanja međusobnog ugovornog odnosa, odnosno vremenu koje zahtijevaju
relevantni pravni propisi.


Izvršitelj obrade dužan je držati sigurnosne kopije elektroničkih podataka, a podaci koji se čuvaju u
pismenom obliku, moraju biti dostupni i u elektroničkom obliku.
U slučaju fizičke provale u uredske prostorije, Izvršitelj obrade dužan je pozvati policiju, radi
provođenja službenih radnji.


U slučaju elektroničke provale, Izvršitelj obrade dužan je pokušati vratiti izgubljene podatke, te izvršiti
istragu kako je došlo do štetnog događaja, prilagoditi sigurnosne mjere kako bi osigurao da se to ne
desi ponovno, te pokušati vratiti eventualno izgubljene podatke i obavijestiti o rezultatima Voditelja
obrade.


Izvršitelj obrade dužan je provoditi redovne postupke testiranja, ocjenjivanja i procjene učinkovitosti
tehničkih i organizacijskih mjera za osiguranje sigurnosti obrade sukladno obvezama preuzetih ovim
OU, Uredbom, te mjerodavnim pravnim propisima.


Svaki pristup, prijenos ili pohrana osobnih podataka mora biti izvršen korištenjem uobičajenih
suvremenih sustava zaštite, kako elektroničkih (korištenje korisničkog imena i šifre za pristup
računalu, zaštićeni mail, korištenje zaštićenih servera, bez obzira na fizičko mjesto pristupanja), tako
i fizičkih (zaključavanje uredskih prostorija u kojima nitko ne boravi ili po isteku radnog vremena).


Pomoć Voditelju obrade


Članak 3.


Izvršitelj obrade je dužan, u mjeri u kojoj je to moguće pružati pomoć Voditelju obrade sukladno
odredbi članka 6. stavci od 1 do 3 ovih OU provođenjem sljedećih tehničkih i organizacijskih mjera:
(i) pristup podacima je dozvoljen isključivo zaposlenicima koji trebaju pristupiti osobnim podacima
ispitanika, (ii) provođenje periodičnih sastanaka u svrhu održavanja kvalitetne razine znanja o zaštiti
osobnih podataka, (iii) šifriranje računala kojima zaposlenici pristupaju podacima, (iv) dodjeljivanjem
mailova i korisničkih pristupa programskim rješenjima koja koristi Izvršitelj obrade, (v) zaključavanje
uredskih prostorija.


Razdoblje pohrane / postupci brisanja


Članak 4.


Razdoblje pohrane određeno je ugovorima, zakonima kojima se uređuje materija pravnih odnosa iz
trgovačkih ugovora, propisima kojima se uređuju pravni odnosi u turizmu, te propisa kojima se
uređuje arhiviranje knjigovodstvene dokumentacije, kao i Pravilnika o eVisitoru.
Nakon isteka vremena potrebnog za uredno izvršenje ugovornih obveza Voditelja obrade, te
njegovih zakonskih obveza čuvanja, podaci se uništavaju.
Svi podaci se čuvaju u elektroničkom obliku, a samo iznimno, u radi potrebe nadzora nadležnih tijela,
čuva se u papirnatom obliku.


Osobne podatke Izvršitelj obrade čuva za svo vrijeme trajanja komercijalnog ugovora među
strankama u elektroničkom i, ukoliko je to nužno, papirnatom obliku.


Na kraju svake kalendarske godine ili po isteku komercijalnog ugovora među strankama, sve osobne
podatke koji se nalaze u papirnatom obliku, Izvršitelj obrade predaje Voditelju obrade radi arhiviranja
sukladno obvezama navedenim u stavku 1 ovog članka.


Mjesto obrade


Članak 5.


Fizička obrada osobnih podataka vrši se na adresi Poreč, Partizanska 4/a, a elektronička obrada
vrši se putem programa Izvršitelja obrade.
Uputa za prijenos osobnih podataka u treće zemlje


Članak 6.



Voditelj obrade dozvoljava Izvršitelju obrade prijenos osobnih podataka u treću zemlju ili
međunarodnu organizaciju ukoliko je to potrebno radi izvršenja njegovih zakonskih ili ugovornih
obveza.


Izvršitelj obrade se obvezuje o namjeri prijenosa u slobodnoj formi u pisanom obliku izvijestiti
Voditelja obrade, koji je dužan dati privolu u roku od 1 radni dan, u suprotnom se smatra da je pristao
na prijenos.


Izvršitelj obrade je prilikom prijenosa dužan pridržavati se najviših sigurnosnih standarda, te uputa
Voditelja obrade, te prenijeti samo tražene podatke.


Ukoliko Voditelj obrade podataka, ne pruži dokumentirane upute za prijenos osobnih podataka u
treću zemlju, odbije prijenos ili se ne očituje na zahtjev Izvršitelja obrade, Izvršitelj obrade podataka
nema pravo izvršiti takav prijenos.


Postupci za revizija i inspekcija


Članak 7.


U redovnom poslovanju stranke će jednom godišnje vršiti reviziju o usklađenosti obrade sa
Uredbom.


U slučaju nastanka štetnog događaja, kršenja osobnih podataka, stranke će reviziju i inspekciju
prepustiti neovisnoj trećoj osobi koja se bavi poslovima zaštite osobnih podataka, ukoliko smatraju
da su prava ispitanika narušena u opsegu kojim se narušavaju prava i slobode fizičkih osoba.
Voditelj obrade može, u oba slučaja iz prethodna dva stavka, osporiti opseg i/ili metodologiju izrade
izvješća te u takvim slučajevima može zatražiti novu reviziju/inspekciju u revidiranom opsegu i/ili
prema drugačijoj metodologiji.


Na temelju rezultata revizije/inspekcije, Voditelj obrade može zatražiti poduzimanje dodatnih mjera
kako bi se osigurala usklađenost sa Uredbom, mjerodavnim propisima Europske unije ili države
članice o zaštiti podataka i predmetnim OU i njihovim dodacima.


Voditelj obrade ima pravo, o vlastitom trošku, te o vlastitoj diskrecijskoj ocjeni, fizički pregledati
uredske prostore Izvršitelja obrade, kao i pod-izvršitelja, gdje se obavlja obrada osobnih podataka.
Izvršitelj obrade je dužan podnijeti na uvid svu dokumentaciju o revizijama i inspekcijama koje je
imao, na zahtjev Voditelja obrade.


Voditelj obrade podataka može osporiti opseg i/ili metodologiju izrade izvješća te u takvim
slučajevima može zatražiti novu inspekciju u revidiranom opsegu i/ili prema drugačijoj metodologiji.
Prava Voditelja obrade, odnosno dužnosti Izvršitelja obrade, primjenjuju se u punom opsegu i na
pod-izvršitelje.


U slučaju nastanka povrede osobnih podataka na strani Izvršitelja obrade i njegovih pod-izvršitelja,
sve troškove revizije, inspekcija, kao i naknade štete, u cijelosti snosi Izvršitelj obrade, a koji ima
pravo tražiti naknadu štete od svojih pod-izvršitelja.


Dodatak D


Članak 1.


Prilikom prijave povrede osobnih podataka, Izvršitelj obrade je, o vlastitom trošku, dužan dostaviti
Voditelju obrade sljedeće informacije:
a. Ime i prezime službenik za zaštitu osobnih podataka,
b. Datum i vrijeme povrede,
c. kategorije pogođenih osobnih podataka,
d. kategorije pogođenih ispitanika,
e. čin povrede,
f. štetnike,
g. Pravilnik o zaštiti osobnih podataka,
h. Evidenciju aktivnosti obrade osobnih podataka,
i. Pravilnik o informacijskoj sigurnosti,
j. Pojasniti i pokazati uvedene sigurnosne mjere,
k. Pojasniti i pokazati na koji način se pristupilo saniranju štete,
l. Pojasniti i pokazati na koji način se pristupilo izmjeni svih do tada primijenjenih mjera kako
bi se osiguralo da ne dođe do ponovne povrede.


Navedene informacije Izvršitelj obrade je dužan dati Voditelju obrade bez odgode, a najkasnije u
roku od 3 radna dana od dana saznanja za štetni čin.

NAČIN PODNOŠENJA PRIGOVORA ISPITANIKA

Prigovor na obradu osobnih podataka, kao i pravo na izmjenu i pravo na „brisanje“ može poslati elektroničkim putem na adresu office@euro-tours.net, Službeniku za zaštitu osobnih podataka, Alen Babić.


U prigovoru su dužni navesti Ime i prezime, zahtjev, predloženo rješenje i dokaze.
O prigovoru odlučuje adresat u roku od 15 dana od primitka, te u elektroničkom obliku, obavijestiti Ispitanika.