PRILOG 3. Uvjetima korištenja: Ugovor o obradi podataka

Stupa na snagu 26. studenog 2025

Ovaj Ugovor o obradi podataka primjenjuje se između vas i tvrtke ESET svaki put kada osobne podatke obrađujete kao voditelj obrade podataka putem korištenja ESET-ovih usluga koje se pružaju u skladu s Uvjetima, a ESET obrađuje takve osobne podatke u vaše ime kao izvršitelja obrade podataka.

Prema zahtjevima Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ („GDPR“), ESET („izvršitelj obrade“) i vi („voditelj obrade“) stupate u ugovorni odnos za obradu podataka kako biste definirali uvjete i odredbe za obradu osobnih podataka i način njihove zaštite te definirali druga prava i obveze obje strane u obradi osobnih podataka ispitanika u ime voditelja obrade tijekom obavljanja predmeta ovih uvjeta kao glavnog ugovora.

1. Obrada osobnih podataka. Usluge pružene u skladu s ovim uvjetima uključuju obradu podataka koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, u ime voditelja obrade, a koji su navedeni u Pravilima privatnosti („osobni podaci“).

2. Autorizacija. Voditelj obrade ovlašćuje izvršitelja obrade za obradu osobnih podataka, uključujući sljedeće upute:

(i) „svrha obrade” znači pružanje usluga u skladu s ovim uvjetima i dokumentacijom. Izvršitelj obrade smije obrađivati osobne podatke samo u ime voditelja obrade kad je riječ o pružanju usluga koje je zatražio voditelj obrade. Svi podaci prikupljeni u dodatne svrhe obrađuju se izvan ugovornog odnosa voditelja obrade i izvršitelja obrade.

(ii) razdoblje obrade znači razdoblje od uspostavljanja suradnje prema ovim uvjetima do raskida,

(iii) Opseg i kategorije osobnih podataka označavaju sve osobne podatke koje je pružio ili stavio na raspolaganje voditelj obrade tijekom pružanja usluga. Usluge su namijenjene samo za obradu općih osobnih podataka. Međutim, voditelj obrade je odgovoran isključivo za utvrđivanje opsega osobnih podataka.

(iv) „ispitanik” znači fizička osoba kao ovlašteni korisnik uređaja voditelja obrade za koji se usluge pružaju,

(v) postupci obrade znači sve operacije potrebne za obradu,

(vi) „Zabilježene upute” znači upute opisane u ovim uvjetima, njihovim prilozima, pravilima privatnosti i dokumentaciji. Voditelj obrade odgovoran je za pravnu prihvatljivost obrade osobnih podataka koju provodi izvršitelj obrade u odnosu na odgovarajuće primjenjive odredbe zakona o zaštiti podataka.

3. Obveze izvršitelja obrade. Izvršitelj obrade dužan je:

(i) obrađuju osobne podatke samo na temelju dokumentiranih uputa i u skladu s svrhom obrade,

(ii) uputiti osobe ovlaštene za obradu osobnih podataka („ovlaštene osobe“) o njihovim pravima i dužnostima u skladu s GDPR-om, kao i o njihovoj odgovornosti u slučaju povrede, te osigurati da su se ovlaštene osobe obvezale na povjerljivost i slijede zabilježene upute,

(iii) poduzimati sve mjere povezane s sigurnošću obrade koje se zahtijevaju u skladu s člankom 32. GDPR-a, uzimajući u obzir najnovije tehnologije, troškove provedbe i prirodu, opseg, kontekst i svrhe obrade, kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba, kako bi se osigurala razina sigurnosti pri obradi osobnih podataka voditelja obrade koja odgovara riziku;

(iv) uzimajući u obzir prirodu obrade, pomagati voditelju obrade u odgovaranju na zahtjeve ispitanika u vezi s njihovim pravima. Izvršitelj obrade ne smije ispravljati, uklanjati niti ograničavati obradu osobnih podataka bez naloga voditelja obrade. Svi zahtjevi ispitanika koji se odnose na osobne podatke obrađene u ime voditelja obrade prosljeđuju se voditelju obrade bez odlaganja.

(v) pomagati voditelju obrade u obavještavanju nadzornog tijela i ispitanika o kršenju osobnih podataka, Izvršitelj obrade obavještava voditelja obrade o povredi obrade ili sigurnosti osobnih podataka odmah po otkrivanju. Izvršitelj obrade u razumnoj mjeri surađuje u istrazi i ispravljanju takve povrede te poduzima razumne mjere za ograničavanje daljnjih negativnih posljedica.

(vi) u skladu s odabirom voditelja obrade, obrisati ili vratiti sve osobne podatke voditelju obrade nakon isteka razdoblja obrade. Voditelj obrade obvezuje se obavijestiti izvršitelja obrade o svojoj odluci u roku od deset (10) dana po isteku razdoblja obrade. Ova odredba ne utječe na pravo izvršitelja obrade da osobne podatke čuva u potrebnoj mjeri u svrhu arhiviranja u javnom interesu, u svrhe znanstvenog istraživanja, u statističke svrhe ili u svrhu postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

(vii) voditi ažurirani registar svih kategorija aktivnosti obrade koje je izvršio u ime voditelja obrade,

(viii) učiniti dostupnima voditelju obrade sve informacije koje su potrebne za dokazivanje usklađenosti kao dio Uvjeta, priloga Uvjetima, Pravila privatnosti i dokumentacije. U slučaju provjere ili kontrole obrade osobnih podataka koju provodi voditelj obrade, voditelj obrade je dužan o tome pisanim putem obavijestiti izvršitelja obrade najmanje trideset (30) dana prije planirane provjere ili kontrole.

4. Angažiranje drugog izvršitelja obrade. Izvršitelj obrade općenito ima pravo angažirati drugog izvršitelja obrade za obavljanje određenih postupaka obrade, kao što je osiguravanje pohrane u cloudu i infrastrukture za uslugu u skladu s Uvjetima, prilozima Uvjetima, Pravilima privatnosti i dokumentaciji. Izvršitelj obrade i u ovom slučaju ostaje jedina kontaktna točka i strana odgovorna za sukladnost. Izvršitelj obrade ovime se obvezuje obavijestiti voditelja obrade o svakom dodavanju ili zamjeni drugog izvršitelja obrade u svrhu mogućnosti prigovora na takvu promjenu. Trenutačno angažirani podizvršitelji obrade navedeni su u Pravilima privatnosti izvršitelja obrade.

5. Područje obrade. Izvršitelj obrade osigurava da se obrada odvija u Europskom gospodarskom prostoru ili u zemlji koja je odlukom Europske komisije proglašena sigurnom na temelju odluke voditelja obrade. Standardne ugovorne odredbe primjenjuju se u slučaju prijenosa i obrade koji se nalaze izvan Europskog gospodarskog prostora ili države koja je odlukom Europske komisije proglašena sigurnom na zahtjev voditelja obrade.

6. Sigurnost. Izvršitelj obrade certificiran je prema normi ISO 27001 i upotrebljava okvir norme ISO 27001 za provedbu slojevite strategije obrambene sigurnosti prilikom primjene sigurnosnih kontrola na sloju mreže, operacijskih sustava, baza podataka, aplikacija, osoblja i operativnih procesa. Sukladnost s regulatornim i ugovornim zahtjevima redovito se procjenjuje i preispituje slično drugim infrastrukturama i operacijama izvršitelja obrade i poduzimaju se potrebni koraci kako bi se kontinuirano osiguravala sukladnost. Izvršitelj obrade je organizirao sigurnost podataka upotrebom ISMS-a na temelju ISO 27001 sustava. Sigurnosna dokumentacija uglavnom uključuje dokumente politika za sigurnost informacija, fizičku sigurnost i sigurnost opreme, upravljanje incidentima, rukovanje curenjima podataka i sigurnosnim incidentima itd.

7. Tehničke i organizacijske mjere. Izvršitelj obrade štiti osobne podatke od slučajnih i nezakonitih oštećenja i uništenja, slučajnog gubitka, promjena, neovlaštenog pristupa i otkrivanja. U tu svrhu izvršitelj obrade donosi odgovarajuće tehničke i organizacijske mjere koje odgovaraju načinu obrade i riziku koji obrada predstavlja za prava ispitanika u skladu sa zahtjevima GDPR-a. Detaljan opis tehničkih i organizacijskih mjera navodi se u Sigurnosnim pravilima.

8. Kontaktni podaci izvršitelja obrade. Sve obavijesti, zahtjevi, nalozi i druga komunikacija u vezi sa zaštitom osobnih podataka upućuju se društvu ESET, spol. s.r.o., na ruke: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.