1.1.1 “Ugovor” znači ovaj Ugovor o obradi podataka i sve njegove priloge;

1.1.2 “Osobni podaci skupštine” znače svi osobni podaci koje ugovorni Izvršitelj obrade obrađuje u ime Skupštine na temelju ili u vezi s ovim Ugovorom;

1.1.3 “Ugovorni izvršitelj obrade” znači Podizvršitelj obrade;

1.1.4 “Zakoni o zaštiti podataka” znače svaki primjenjivi zakonodavni ili regulatorni okvir donesen od strane priznate vlade ili državnog odnosno upravnog tijela s ciljem zaštite prava na privatnost fizičkih osoba ili kućanstava koja se sastoje od fizičkih osoba, a osobito: Opća uredba o zaštiti podataka 2016/679 (“GDPR”) i dopunsko zakonodavstvo o zaštiti podataka država članica Europske unije, Zakon Ujedinjene Kraljevine o zaštiti podataka iz 2018. godine (Data Protection Act 2018) i GDPR kako je prenesen u pravo Ujedinjene Kraljevine na temelju članka 3. Zakona Ujedinjenog Kraljevstva o povlačenju iz Europske unije iz 2018. (“UK GDPR”), Švicarski savezni zakon o zaštiti podataka (“Swiss DPA”), Kanadski zakon Personal Information Protection and Electronic Documents Act (“PIPEDA”) S.C. 2000, ch. 5, kao i svako pokrajinsko zakonodavstvo koje se smatra u bitnome jednakim PIPEDA-i u skladu s postupcima utvrđenim tim zakonom, Brazilski zakon br. 13.709/2018 – Brazilski opći zakon o zaštiti podataka (“LGPD”), Direktiva o e-privatnosti 2002/58/EZ (“Direktiva”), zajedno sa svim nacionalnim zakonodavstvima država članica Europske unije kojima se provodi navedena Direktiva.

1.1.5 “Prijenos podataka” znači:

1.1.6 “Usluge” znače usluge koje Skupština pruža;

1.1.7 “Podizvršitelj obrade” znači svaku osobu koju Izvršitelj obrade imenuje ili angažira u njegovo ime radi obrade osobnih podataka u ime Skupštine u vezi s ovim Ugovorom. Izvršitelj obrade koristi samo jednog Podizvršitelja obrade, a to je Amazon Web Services.

2.1 Izvršitelj obrade će:

2.2 Skupština daje uputu Izvršitelju obrade da obrađuje osobne podatke Skupštine.

2.3 Posebne kategorije podataka

3.1 Izvršitelj obrade poduzet će razumne mjere kako bi osigurao pouzdanost svakog zaposlenika, zastupnika ili ugovaratelja bilo kojeg Ugovornog izvršitelja obrade koji može imati pristup osobnim podacima Skupštine, osiguravajući u svakom slučaju da je pristup strogo ograničen na one osobe koje moraju znati / imati pristup relevantnim osobnim podacima Skupštine, isključivo u mjeri nužnoj za potrebe ovog Ugovora i radi usklađenosti s primjenjivim zakonima u okviru dužnosti te osobe prema Ugovornom izvršitelju obrade, te osiguravajući da su sve takve osobe obvezane obvezom povjerljivosti ili profesionalnim odnosno zakonskim obvezama čuvanja povjerljivosti.

4.1Uzimajući u obzir stanje tehnike, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba, Izvršitelj obrade će u odnosu na Osobne podatke Skupštine primijeniti odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu sigurnosti primjerenu tom riziku, uključujući prema potrebi mjere iz članka 32. stavka 1. GDPR-a.

4.2 Pri procjeni odgovarajuće razine sigurnosti Izvršitelj obrade uzet će osobito u obzir rizike koje predstavlja obrada, osobito one koji proizlaze iz povrede osobnih podataka.

5.1 Skupština ovime daje prethodno pisano odobrenje Izvršitelju obrade za angažiranje Amazon Web Services, Inc. (AWS) kao Podizvršitelja obrade u svrhu hostinga i pohrane Osobnih podataka Skupštine, kako je opisano u Prilogu 1. AWS je jedini Podizvršitelj obrade kojeg je Izvršitelj obrade angažirao na datum sklapanja ovog Ugovora.

5.2 Izvršitelj obrade neće imenovati dodatnog ili zamjenskog Podizvršitelja obrade bez: (a) da Skupštini dostavi najmanje 30 dana unaprijed pisanu obavijest u kojoj navodi predloženog novog Podizvršitelja obrade i prirodu podobrade; i (b) pribavljanja prethodne pisane suglasnosti Skupštine, koja se ne smije nerazumno uskratiti ili odgoditi.

5.3 Ako Skupština uloži prigovor na predloženog novog Podizvršitelja obrade u roku iz točke 5.2, Izvršitelj obrade neće angažirati tog Podizvršitelja obrade u vezi s obradom Osobnih podataka Skupštine, a Strane će u dobroj vjeri raspraviti alternativno rješenje. Ako se ne postigne alternativni dogovor, svaka Strana može raskinuti ovaj Ugovor uz razumnu obavijest bez odgovornosti.

5.4 Izvršitelj obrade osigurat će da svaki Podizvršitelj obrade kojeg angažira bude obvezan obvezama zaštite podataka koje su najmanje ekvivalentne onima utvrđenima u ovom Ugovoru te ostaje odgovoran prema Skupštini za radnje i propuste svojih Podizvršitelja obrade kao da su to radnje i propusti samog Izvršitelja obrade.

6.1 Uzimajući u obzir prirodu obrade, Izvršitelj obrade pomoći će Skupštini primjenom odgovarajućih tehničkih i organizacijskih mjera, u mjeri u kojoj je to moguće, u ispunjavanju obveza Skupštine, kako ih Skupština razumno razumije, u odgovaranju na zahtjeve za ostvarivanje prava ispitanika prema Zakonima o zaštiti podataka.

6.2 Izvršitelj obrade će:

7.1 Izvršitelj obrade obavijestit će Skupštinu bez nepotrebnog odgađanja nakon što postane svjestan povrede osobnih podataka koja utječe na Osobne podatke Skupštine, pružajući Skupštini dovoljno informacija kako bi Skupština mogla ispuniti sve obveze prijave ili obavještavanja ispitanika o povredi osobnih podataka prema Zakonima o zaštiti podataka.

7.2 Izvršitelj obrade surađivat će sa Skupštinom i poduzeti razumne mjere u okviru uobičajenog poslovanja prema uputama Skupštine kako bi pomogao u istrazi, ublažavanju posljedica i otklanjanju svake takve Povrede osobnih podataka.

8.1 Izvršitelj obrade pružit će razumnu pomoć Skupštini u vezi sa svim procjenama učinka na zaštitu podataka te prethodnim savjetovanjima s nadzornim tijelima ili drugim nadležnim tijelima za zaštitu privatnosti podataka, za koje Skupština razumno smatra da su potrebni prema članku 35. ili 36. GDPR-a ili ekvivalentnim odredbama bilo kojeg drugog Zakona o zaštiti podataka, u svakom slučaju isključivo u vezi s obradom Osobnih podataka Skupštine od strane Ugovornih izvršitelja obrade te uzimajući u obzir prirodu obrade i informacije dostupne Ugovornim izvršiteljima obrade.

9.1 Podložno ovom članku 9., Izvršitelj obrade će bez odgode, a u svakom slučaju unutar 10 radnih dana od datuma prestanka bilo kojih Usluga koje uključuju obradu Osobnih podataka Skupštine (“Datum prestanka”), izbrisati i osigurati brisanje svih kopija Osobnih podataka Skupštine.

10.1 Podložno ovom članku 10., Izvršitelj obrade stavit će na raspolaganje Skupštini, na zahtjev Skupštine i o trošku Skupštine, sve informacije potrebne za dokazivanje usklađenosti s ovim Ugovorom te će omogućiti i doprinijeti revizijama o trošku Skupštine, uključujući inspekcije, koje provodi revizor kojeg zajednički odobre Skupština i Izvršitelj obrade u vezi s obradom Osobnih podataka Skupštine od strane Izvršitelja obrade.

10.2 Prava Skupštine na informacije i reviziju nastaju prema stavku 10.1 samo u mjeri u kojoj Ugovor Skupštini već ne daje prava na informacije i reviziju koja ispunjavaju relevantne zahtjeve Zakona o zaštiti podataka.

11.1 Skupština potvrđuje i slaže se da, radi pružanja Usluga, Izvršitelj obrade može prenositi Osobne podatke Skupštine u zemlje izvan Europskog gospodarskog prostora (EEA) i/ili Ujedinjenog Kraljevstva (UK), uključujući Sjedinjene Američke Države.

11.2 Svi takvi prijenosi provodit će se u skladu s primjenjivim Zakonima o zaštiti podataka. Primarni Podizvršitelj obrade kojeg angažira Izvršitelj obrade je Amazon Web Services, Inc. („AWS”), čija se infrastruktura nalazi u Sjedinjenim Američkim Državama (vid točku 5. i Prilog 1.). AWS je certificiran u okviru EU-U.S. Data Privacy Framework (DPF) te je strana dodatka o obradi podataka (Data Processing Addendum) sklopljenog s Izvršiteljem obrade, koji uključuje standardne ugovorne klauzule (Standard Contractual Clauses).

11.3 Prijenos podataka – EU. Za prijenose Osobnih podataka Skupštine iz EEA u Sjedinjene Američke Države Izvršitelj obrade oslanja se na Standardne ugovorne klauzule (Standard Contractual Clauses) koje je Europska komisija donijela 4. lipnja 2021. (Odluka 2021/914), Module 3 (izvršitelj obrade prema izvršitelju obrade), kako su uključene u AWS Data Processing Addendum (Dodatak o obradi podataka). Izvršitelj obrade jamči da je proveo Transfer Impact Assessment (TIA) u skladu s EDPB Recommendations 01/2020, čija je kopija dostupna Skupštini na zahtjev.

11.4 Prijenos podataka – UK. Za prijenose Osobnih podataka Skupštine iz Ujedinjenog Kraljevstva Izvršitelj obrade oslanja se na: (a) International Data Transfer Addendum uz Standard Contractual Clauses Europske komisije (UK IDTA, verzija B1.0, izdana od strane ICO-a 21. ožujka 2022.), kako se primjenjuje na daljnji prijenos prema AWS-u; ili (b) drugi mehanizam prijenosa koji može odobriti UK Information Commissioner s vremena na vrijeme. Izvršitelj obrade potvrđuje da je TIA iz točke 11.3 procijenjen kao primjenjiv i na prijenose iz Ujedinjenog Kraljevstva.

12.1 Povjerljivost. Svaka Strana mora čuvati ovaj Ugovor i informacije koje primi o drugoj strani i njezinu poslovanju u vezi s ovim Ugovorom (“Povjerljive informacije”) kao povjerljive te ne smije koristiti ili otkriti te povjerljive informacije bez prethodne pisane suglasnosti druge strane, osim u mjeri u kojoj:

1. je otkrivanje zahtijevano zakonom;
2. su relevantne informacije već javno dostupne.

12.2 Obavijesti. Sve obavijesti i komunikacije povezane s ovim Ugovorom moraju biti u pisanom obliku. Dostavljaju se osobno, poštom ili e‑poštom na adresu ili adresu e‑pošte navedenu u ovom Ugovoru. Ako se adresa ili e‑mail promijene, Strane moraju jedna drugoj poslati pisanu obavijest o novim kontaktima.

13.1 Ovaj Ugovor uređuje se i tumači u skladu s mjerodavnim pravom i odredbama o nadležnosti sadržanim u Uvjetima pružanja usluge, osim ako drukčije ne zahtijeva primjenjivo pravo zaštite podataka.