Preskoči na glavni sadržaj
Obrada podataka

Sporazum o obradi podataka (DPA)

Ovaj Sporazum o obradi podataka („DPA”) čini sastavni dio ugovora između DivetIQ-a i Klijenta o pružanju DivetIQ platforme i povezanih Usluga. Definiše obaveze strana prema EU Općoj uredbi o zaštiti podataka (Uredba (EU) 2016/679) i ekvivalentnim zakonima, uključujući UK GDPR, CCPA/CPRA, LGPD i Quebec Law 25.

Posljednje ažuriranje: 18. maj 2026.

Ovaj prijevod je obezbijeđen radi praktičnosti. U slučaju neslaganja, mjerodavna je verzija ovog dokumenta na engleskom jeziku.

1. Strane i uloge

Ovaj DPA se sklapa između DivetIQ-a („Obrađivač”), sa registrovanom adresom 2810 N Church St, STE 88941, Wilmington, DE 19802, United States, i Klijenta koji je potpisao Narudžbu ili na drugi način ugovorio korištenje DivetIQ Usluga („Kontrolor”).

Kontrolor utvrđuje svrhe i sredstva obrade ličnih podataka; DivetIQ obrađuje lične podatke isključivo prema dokumentovanim uputama Kontrolora, kako je dalje opisano u ovom DPA.

2. Definicije

„Lični podaci”, „obrada”, „ispitanik”, „kontrolor”, „obrađivač” i „nadzorno tijelo” imaju značenje koje im je dato u GDPR-u. „Podaci Klijenta” označavaju podatke, uključujući lične podatke, koje Kontrolor ili neko u njegovo ime dostavi DivetIQ Uslugama. „Pod-obrađivač” označava bilo koju treću stranu koju DivetIQ angažuje za obradu ličnih podataka u ime Kontrolora.

3. Opseg i svrha

DivetIQ će obrađivati lične podatke u ime Kontrolora isključivo radi pružanja Usluga opisanih u Ugovoru, uključujući podršku i odgovor na sigurnosne incidente. Predmet, trajanje, priroda i svrha obrade, vrste ličnih podataka i kategorije ispitanika opisani su u Aneksu I.

4. Upute Kontrolora

DivetIQ će lične podatke obrađivati isključivo prema dokumentovanim uputama Kontrolora, osim ako zakon koji se primjenjuje na DivetIQ ne zahtijeva drugačije. Ako DivetIQ smatra da uputa krši GDPR ili druge zakone o zaštiti podataka, bez odlaganja će obavijestiti Kontrolora.

5. Povjerljivost osoblja

DivetIQ osigurava da su zaposlenici ovlašteni za obradu ličnih podataka preuzeli obavezu povjerljivosti ili da podliježu odgovarajućoj zakonskoj obavezi povjerljivosti. Pristup ličnim podacima ograničen je na osnovu načela neophodnog znanja.

6. Sigurnosne mjere

DivetIQ provodi odgovarajuće tehničke i organizacione mjere kako bi osigurao nivo sigurnosti primjeren riziku, uključujući:

  • Enkripciju ličnih podataka u mirovanju pomoću AES-256 i u prijenosu pomoću TLS 1.3.
  • Upravljanje sigurnošću informacija usklađeno sa ISO 27001 i SOC 2 Type II.
  • Kontrolu pristupa zasnovanu na ulogama sa proširenjima atributa za pravila na nivou reda, kolone i polja.
  • Nepromjenjive append-only audit logove, čuvane prema zakonskim zahtjevima.
  • Penetracijsko testiranje, skeniranje ranjivosti, WAF i zaštitu od DDoS-a.
  • Kontinuitet poslovanja, oporavak od katastrofe i redovno testirane sigurnosne kopije.
  • Dokumentovan proces odgovora na incidente sa pokrivenošću 24/7.

Trenutna verzija DivetIQ-ovih tehničkih i organizacionih mjera nalazi se u Aneksu II, a dostupna je i u Customer Trust Centeru.

7. Pod-obrađivači

Kontrolor daje DivetIQ-u opću ovlast za angažovanje Pod-obrađivača. DivetIQ održava ažuriran spisak Pod-obrađivača u Customer Trust Centeru i obavijestit će Kontrolora o svakoj namjeravanoj promjeni najmanje trideset (30) dana prije stupanja na snagu, pružajući Kontroloru mogućnost prigovora iz razumnih razloga zaštite podataka.

DivetIQ nameće svakom Pod-obrađivaču obaveze zaštite podataka koje nisu manje zaštitne od onih navedenih u ovom DPA i ostaje odgovoran Kontroloru za izvršavanje obaveza svakog Pod-obrađivača.

8. Prava ispitanika

DivetIQ pruža operativne alate koji omogućavaju Kontroloru da odgovori na zahtjeve ispitanika za pristup, ispravku, brisanje, ograničenje, prenosivost i prigovor, uključujući podršku za DSAR, pravo na zaborav i upravljanje saglasnostima. Kada DivetIQ primi zahtjev direktno od ispitanika, bez odlaganja će ga proslijediti Kontroloru i neće odgovarati osim po uputi Kontrolora.

9. Povrede ličnih podataka

DivetIQ će bez odlaganja, a u svakom slučaju u roku od sedamdeset dva (72) sata, obavijestiti Kontrolora nakon saznanja o povredi ličnih podataka koja utiče na Podatke Klijenta. Obavještenje će sadržavati informacije koje su razumno potrebne da Kontrolor ispuni svoje obaveze obavještavanja prema važećem zakonu.

10. DPIA i konsultacije

Uzimajući u obzir prirodu obrade i informacije dostupne DivetIQ-u, DivetIQ će pružiti razumnu pomoć Kontroloru u provođenju procjena uticaja na zaštitu podataka i u konsultacijama sa nadzornim tijelima kada to zahtijevaju članovi 35 i 36 GDPR-a.

11. Međunarodni prijenosi

Kada se lični podaci prenose izvan Evropskog ekonomskog prostora, Ujedinjenog Kraljevstva ili Švicarske u zemlju koja nije predmet odluke o adekvatnosti, prijenos je regulisan Standardnim ugovornim klauzulama Evropske komisije (Modul Dva: Kontrolor-prema-Obrađivaču), UK Adendumom za međunarodne prijenose podataka i ekvivalentnim mehanizmima, zajedno sa dodatnim tehničkim i organizacionim mjerama.

Klijent na zahtjev može odabrati rezidenciju podataka isključivo unutar EU-a.

12. Revizije i certifikati

DivetIQ stavlja na raspolaganje Kontroloru sve informacije koje su razumno potrebne za dokazivanje usklađenosti sa ovim DPA. DivetIQ na zahtjev, pod uslovom povjerljivosti, dostavlja godišnje izvještaje revizije trećih strana (uključujući certifikate SOC 2 Type II i ISO 27001). Kada to zahtijeva prinudni zakon, Kontrolor može provoditi reviziju ne više od jednom godišnje, uz razuman prethodni najavu i tokom radnog vremena, na način koji ne ometa nesrazmjerno poslovanje DivetIQ-a.

13. Brisanje i vraćanje

Po raskidu ili isteku Ugovora, DivetIQ će, po izboru Kontrolora, vratiti ili izbrisati sve lične podatke u roku od trideset (30) dana, osim ako važeći zakon zahtijeva čuvanje. Kontrolor potvrđuje da rezervne kopije mogu biti čuvane na ograničeni period u skladu sa dokumentovanim rasporedom čuvanja DivetIQ-a i podliježu istim zaštitama predviđenim u ovom DPA.

14. Obrada putem AI-ja i obuka modela

Podaci Klijenta se nikada ne koriste za treniranje dijeljenih ili AI modela trećih strana. AI funkcionalnosti koje rade nad Podacima Klijenta su ili raspoređene u tenantu Kontrolora ili izvode inferenciju bez stanja prema kontekstu po tenantu koji se ne zadržava u svrhu treniranja. Kada se koristi automatizovano donošenje odluka koje proizvodi pravne ili slično značajne efekte, Kontrolor je odgovoran za primjenu zaštita propisanih članom 22 GDPR-a i drugim važećim zakonima (uključujući EU AI Act).

Aneks I — Opis obrade

Predmet: pružanje DivetIQ headless platforme i povezanih Usluga.

Trajanje: za vrijeme trajanja Ugovora i bilo kojeg perioda nakon raskida potrebnog za vraćanje ili brisanje ličnih podataka.

Priroda i svrha: hosting, pohrana, prenos, analitika i operacije potpomognute AI-jem nad Podacima Klijenta, prema uputama Kontrolora kroz konfiguraciju Usluga.

Kategorije ispitanika: zaposlenici Kontrolora, izvođači, klijenti, dobavljači, kandidati i druge osobe čiji se podaci učitavaju u Usluge ili obrađuju putem njih.

Kategorije ličnih podataka: identifikatori, kontakt podaci, podaci o zaposlenju, finansijski i nabavni podaci, podaci o odnosima s klijentima i druge kategorije koje Kontrolor odluči obrađivati putem Usluga.

Aneks II — Tehničke i organizacione mjere

DivetIQ provodi sigurnosne mjere opisane u Sekciji 6 (Sigurnosne mjere) ovog DPA. Detaljan i aktuelan opis održava se u Customer Trust Centeru i ažurira se kako se razvija naš sigurnosni stav. Materijalna smanjenja ovih mjera bit će unaprijed prijavljena.

Kontakt

Pitanja o ovom DPA mogu se poslati na dpo@divetiq.com ili poštom na 2810 N Church St, STE 88941, Wilmington, DE 19802, United States.