F9.contact

Ugovor o obradi podataka

Verzija: 1.0 · Datum stupanja na snagu: 2026-06-03

NACRT — čeka pravnu provjeru. Ovaj Ugovor o obradi podataka opisuje predviđene obveze usluge F9.contact prema čl. 28. GDPR-a. Pravni savjetnik ga još nije konačno potvrdio i ne smije se smatrati konačnim pravnim instrumentom. Verzija navedena iznad usklađena je s verzijom zabilježenom u trenutku prihvaćanja prilikom registracije poslovnog subjekta.

1. Uloge

Ovaj se ugovor sklapa između poslovnog korisnika („Voditelj obrade") i F9.contact („Izvršitelj obrade"). Voditelj obrade određuje svrhe i sredstva obrade osobnih podataka vlastitih klijenata i djelatnika; Izvršitelj obrade obrađuje te osobne podatke isključivo prema dokumentiranim uputama Voditelja obrade, kako je utvrđeno ovim ugovorom i konfiguracijom platforme.

2. Predmet i trajanje

Izvršitelj obrade obrađuje osobne podatke u ime Voditelja obrade tijekom trajanja pretplate i svakog razdoblja zadržavanja podataka nakon prestanka, isključivo radi pružanja usluge F9.contact.

3. Priroda i svrha obrade

Obrada obuhvaća pohranu, organizaciju, dohvaćanje, prijenos i brisanje osobnih podataka putem značajki za rezervacije, evidenciju klijenata, raspoređivanje, prodajno mjesto i usklađenost.

4. Kategorije podataka i ispitanika

  • Ispitanici: klijenti, djelatnici i radnici Voditelja obrade.
  • Kategorije: kontaktni podaci, povijest termina i transakcija, preferencije, neobvezne profilne fotografije te, ako Voditelj obrade koristi kliničke značajke, odgovori iz upitnika za prijem koji mogu uključivati posebne kategorije zdravstvenih podataka.

5. Obveze voditelja i izvršitelja obrade

Voditelj obrade odgovoran je za zakonitost podataka koje unosi i za postojanje valjane pravne osnove za obradu. Izvršitelj obrade obrađivat će podatke isključivo prema dokumentiranim uputama, osigurati da osobe ovlaštene za obradu budu obvezane povjerljivošću te pomagati Voditelju obrade u ispunjavanju njegovih obveza prema čl. 32. do 36.

6. Tehničke i organizacijske mjere (čl. 32.)

Izvršitelj obrade provodi mjere primjerene riziku, uključujući:

  • Enveloping enkripciju AES-256-GCM osobnih podataka u mirovanju, pri čemu je svaki zapis zaštićen vlastitim ključem za šifriranje podataka (Data Encryption Key) koji je omotan ključem za šifriranje ključeva (Key Encryption Key).
  • Trorazinsku hijerarhiju ključeva koja izolira poslovno-kontaktne podatke te podatke djelatnika i klijenata pod zasebnim ključevima, tako da je ključ za podatke klijenata neovisan o ključevima koji se koriste za podatke na razini poslovnog korisnika.
  • Pretraživanje pomoću ključem generiranog sažetka (keyed-hash) za pretražive identifikatore poput e-pošte, tako da se identifikatori u otvorenom obliku nikada ne pohranjuju.
  • Izolaciju podataka po poslovnom subjektu, EU-suvereni smještaj podataka, evidentiranje pristupa zapisom samo s dodavanjem (append-only) te potpisane vremenski ograničene URL-ove za medijske sadržaje.

7. Podizvršitelji obrade

Izvršitelj obrade može angažirati podizvršitelje obrade za infrastrukturu, pohranu, isporuku e-pošte i obradu plaćanja. Podizvršitelji obrade obvezani su jednakovrijednim obvezama zaštite podataka i odabiru se prema kriteriju smještaja podataka unutar EU-a kada su uključeni osobni podaci. Izvršitelj obrade vodi ažurni popis podizvršitelja obrade te će obavijestiti Voditelja obrade o namjeravanim izmjenama, pružajući Voditelju obrade priliku da im prigovori.

8. Pomoć pri ostvarivanju prava ispitanika

Platforma pruža alate za samostalno korištenje koji pomažu Voditelju obrade u ispunjavanju zahtjeva ispitanika, uključujući pravo na prenosivost podataka (čl. 20.) putem asinkronih izvoznih arhiva i pravo na brisanje (čl. 17.) putem kriptografskog uništavanja odgovarajućeg ključa za šifriranje podataka (Data Encryption Key).

9. Povrede osobnih podataka

Izvršitelj obrade obavijestit će Voditelja obrade bez nepotrebne odgode nakon što sazna za povredu osobnih podataka koja utječe na podatke Voditelja obrade te će pružiti informacije koje su Voditelju obrade potrebne za ispunjavanje vlastitih obveza obavješćivanja.

10. Vraćanje i brisanje

Po prestanku, i podložno zakonskim obvezama zadržavanja podataka poput hrvatskog zakonodavstva o fiskalnim evidencijama, Izvršitelj obrade izbrisat će osobne podatke putem postupka zadržavanja platforme. Brisanje se provodi kriptografski: odgovarajući ključ za šifriranje podataka (Data Encryption Key) se uništava, čime osobni podaci postaju nepovratni, dok se zakonski obvezni strukturni zapisi čuvaju bez čitljivog osobnog sadržaja.

11. Revizije

Izvršitelj obrade stavit će na raspolaganje informacije potrebne za dokazivanje usklađenosti s ovim ugovorom i doprinijet će revizijama koje provodi Voditelj obrade ili revizor kojeg je Voditelj obrade ovlastio, podložno razumnim mjerama zaštite povjerljivosti i sigurnosti.

12. Učinak

Ovaj ugovor čini sastavni dio Uvjeta korištenja. U slučaju nesuglasja u pitanjima zaštite podataka, ovaj ugovor ima prednost.