Ugovor o obradi osobnih podataka (Dodatak — članak 28. Opće uredbe o zaštiti podataka)
> NACRT — u postupku pravne provjere (DRAFT — pending legal review). Ovaj dokument je nacrt. Ne primjenjuje se i ne smije se objaviti ni potpisati dok ga ne pregleda i potvrdi kvalificirani hrvatski pravni savjetnik i dok se ne popune svi podaci označeni kao [PLACEHOLDER].
1. Ugovorne strane i status dokumenta
1.1. Ovaj Ugovor o obradi osobnih podataka („Ugovor o obradi”) sastavni je dio i prilog Uvjeta pretplate za klinike („Glavni ugovor”) i sklapa se između:
- Voditelja obrade: zdravstvene ustanove, trgovačkog društva ili privatne prakse koja je sklopila Glavni ugovor („Klinika”), i
- Izvršitelja obrade: [ legal entity name and form], sa sjedištem na adresi [ registered address], upisano u sudski registar [ court of registration and MBS number], OIB: [ OIB], koje zastupa [ representative name] („MEDKIT”), operatora platforme dostupne na medkit.ltd („Platforma”).
1.2. Kontakt MEDKIT-a za pitanja zaštite osobnih podataka: privacy@medkit.ltd. Službenik za zaštitu podataka (ako je imenovan): [ DPO name and contact, if appointed].
1.3. Sklapanjem odnosno prihvatom Glavnog ugovora Klinika prihvaća i ovaj Ugovor o obradi. U slučaju proturječja između ovog Ugovora o obradi i Glavnog ugovora, u pitanjima zaštite osobnih podataka mjerodavan je ovaj Ugovor o obradi.
2. Definicije
2.1. Pojmovi „osobni podaci”, „obrada”, „voditelj obrade”, „izvršitelj obrade”, „ispitanik”, „povreda osobnih podataka”, „posebne kategorije osobnih podataka” i „nadzorno tijelo” imaju značenje utvrđeno Uredbom (EU) 2016/679 (Opća uredba o zaštiti podataka; „Opća uredba”).
2.2. „Podizvršitelj” znači drugi izvršitelj obrade kojeg MEDKIT angažira za obavljanje posebnih aktivnosti obrade u ime Klinike.
2.3. Nadzorno tijelo u Republici Hrvatskoj je Agencija za zaštitu osobnih podataka (AZOP), www.azop.hr.
3. Uloge stranaka i područje primjene
3.1. MEDKIT kao izvršitelj obrade — predmet ovog Ugovora o obradi. Za modul agende i evidencije pacijenata Platforme — to jest za osobne podatke koje Klinika i njezino ovlašteno osoblje unose, pregledavaju i obrađuju u okviru korisničkog računa Klinike (popis pacijenata Klinike; termini, uključujući rezervacije koje osoblje unese ručno ili telefonski; potvrde termina i oznake nedolaska; lista čekanja Klinike — pri čemu je javni upis pacijenata na listu čekanja putem javnog obrasca uređen člankom 3.2.; interni raspored dežurstava osoblja) — Klinika je voditelj obrade, a MEDKIT te podatke obrađuje isključivo kao izvršitelj obrade u smislu članka 28. Opće uredbe. Ovaj Ugovor o obradi uređuje isključivo tu obradu.
3.2. Javni tijek naručivanja (marketplace). Za javni postupak naručivanja na Platformi — prikupljanje podataka putem javnih obrazaca koje oblikuje MEDKIT (obrazac za naručivanje termina i obrazac za upis na listu čekanja), prijenos rezervacije odnosno upisa Klinici te slanje transakcijskih e-poruka pacijentu (potvrda termina s poveznicom za otkazivanje; obavijest s liste čekanja o oslobođenom terminu) — MEDKIT i Klinika djeluju kao samostalni (odvojeni) voditelji obrade, svaki za svoje svrhe. Sigurnost Platforme te sigurnosne i revizijske evidencije Platforme (audit log) samostalna su odgovornost MEDKIT-a kao voditelja obrade prema članku 3.3. Raspodjela odgovornosti za taj dio uređena je klauzulom o ulogama u zaštiti podataka u Glavnom ugovoru. Ta je klauzula sastavljena tako da, ako nadležno tijelo ili stranke utvrde da je za zajedničku rezervacijsku transakciju riječ o zajedničkom voditeljstvu, služi kao dogovor iz članka 26. Opće uredbe, čija se bit stavlja na raspolaganje ispitanicima putem Obavijesti o privatnosti Platforme.
3.3. Samostalno voditeljstvo MEDKIT-a (izvan ovog Ugovora o obradi). Za javni imenik zdravstvenih pružatelja (uključujući nepreuzete unose podrijetlom iz javnog registra), zahtjeve za preuzimanje i uklanjanje unosa iz imenika, korisničke račune osoblja na razini Platforme (autentikacija) te sigurnosne i revizijske zapise Platforme, MEDKIT je samostalni voditelj obrade. Ta obrada nije predmet ovog Ugovora o obradi i opisana je u Obavijesti o privatnosti Platforme.
4. Predmet, priroda, svrha i trajanje obrade
4.1. Predmet obrade: smještaj (hosting) i rad modula agende i evidencije pacijenata Platforme za potrebe Klinike.
4.2. Priroda obrade: pohrana, strukturiranje, dohvat, uvid, upotreba, izmjena, ograničavanje i brisanje osobnih podataka u informacijskom sustavu Platforme, u skladu s radnjama koje ovlašteno osoblje Klinike izvršava putem funkcionalnosti Platforme.
4.3. Svrha obrade: omogućiti Klinici vođenje rasporeda termina i s njime povezane evidencije pacijenata (naručivanje, potvrđivanje i otkazivanje termina, evidentiranje nedolazaka, vođenje liste čekanja, interna organizacija dežurstava osoblja).
4.4. Trajanje obrade: za vrijeme trajanja Glavnog ugovora te nakon njegova prestanka do dovršetka povrata odnosno brisanja podataka u skladu s člankom 11. ovog Ugovora o obradi.
5. Vrste osobnih podataka i kategorije ispitanika
5.1. Kategorije ispitanika: (a) pacijenti Klinike, uključujući osobe na listi čekanja Klinike; (b) osoblje Klinike (članovi tima Klinike s pristupom Platformi, u mjeri u kojoj se njihovi podaci pojavljuju u evidencijama agende).
5.2. Vrste osobnih podataka pacijenata: ime i prezime; adresa e-pošte; broj telefona (ako je unesen — nije obvezan podatak); jezik komunikacije; podaci o terminu (datum i vrijeme, lokacija/ordinacija, odabrani zdravstveni djelatnik, vrsta termina, status termina — uključujući otkazan termin i nedolazak — te izvor rezervacije); razlog posjeta u slobodnom tekstu (ako je unesen — neobvezan podatak); zapis o prihvatu uvjeta rezervacije pri online naručivanju (jedna evidencija privole, s oznakom verzije prihvaćenih uvjeta; Platforma ne vodi granulirane evidencije privola po pojedinim svrhama obrade); unosi na listi čekanja (ime i adresa e-pošte).
5.3. Posebne kategorije osobnih podataka (podaci o zdravlju). Podatak o terminu kod imenovanog zdravstvenog djelatnika određene specijalnosti te neobavezni razlog posjeta mogu otkrivati podatke koji se odnose na zdravlje u smislu članka 4. točke 15. i članka 9. Opće uredbe. Stranke potvrđuju da obrada u okviru modula agende obuhvaća podatke o zdravlju. Klinika kao zdravstveni pružatelj podvrgnut obvezi čuvanja profesionalne tajne jamči da za tu obradu raspolaže valjanom pravnom osnovom, uključujući osnovu iz članka 9. stavka 2. točke (h) u vezi sa stavkom 3. Opće uredbe i mjerodavnim hrvatskim zdravstvenim propisima; MEDKIT te podatke obrađuje isključivo prema uputama Klinike.
5.4. Vrste osobnih podataka osoblja Klinike: unosi u rasporedu dežurstava (zdravstveni djelatnik, vrijeme smjene, bilješka). Zapisi o terminima ne bilježe koji je član osoblja pojedini termin unio, potvrdio ili otkazao; uz termin se bilježi samo izvor rezervacije (online / ručno / telefonski). Neovisno o tome, sigurnosna evidencija radnji Platforme (audit log), koju MEDKIT vodi kao samostalni voditelj obrade (članak 3.3.), bilježi korisnički račun koji je izvršio radnju za one radnje za koje je takvo bilježenje implementirano.
5.5. Platforma ne vodi medicinsku dokumentaciju ni zdravstvene kartone; obrađuju se isključivo gore navedeni podaci o naručivanju.
6. Obveze MEDKIT-a kao izvršitelja obrade
6.1. Dokumentirane upute. MEDKIT obrađuje osobne podatke iz članka 5. isključivo prema dokumentiranim uputama Klinike, uključujući u pogledu prijenosa osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako je obrada obvezna prema pravu Unije ili pravu Republike Hrvatske kojem MEDKIT podliježe; u tom slučaju MEDKIT obavješćuje Kliniku o toj pravnoj obvezi prije obrade, osim ako to pravo zabranjuje takvo obavješćivanje zbog važnih razloga javnog interesa. Dokumentiranim uputama smatraju se Glavni ugovor, ovaj Ugovor o obradi te radnje koje ovlašteno osoblje Klinike izvršava putem funkcionalnosti Platforme.
6.2. Nezakonita uputa. MEDKIT bez odgode obavješćuje Kliniku ako prema njegovu mišljenju određena uputa krši Opću uredbu ili druge odredbe prava Unije ili prava Republike Hrvatske o zaštiti podataka.
6.3. Povjerljivost. MEDKIT osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na povjerljivost ili da podliježu odgovarajućoj zakonskoj obvezi čuvanja povjerljivosti. Stranke primaju na znanje da osoblje MEDKIT-a nije vezano zdravstvenom profesionalnom (liječničkom) tajnom u smislu zdravstvenih propisa; obveza povjerljivosti osoblja MEDKIT-a ugovorne je prirode.
6.4. Ograničenje pristupa. Pristup podacima Klinike ograničen je tehničkim mjerama iz članka 7. (izolacija podataka između klinika na razini baze podataka) i načelom najmanje potrebne razine ovlasti.
7. Sigurnosne mjere (članak 32. Opće uredbe)
7.1. Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava i slobode ispitanika, MEDKIT provodi sljedeće tehničke i organizacijske mjere, koje odražavaju stvarno implementirano stanje Platforme:
- pohrana svih produkcijskih osobnih podataka u Europskoj uniji: baza podataka Supabase (PostgreSQL) na AWS infrastrukturi u regiji eu-west-1 (Irska);
- enkripcija podataka u prijenosu: TLS (HTTPS) na cijeloj Platformi, uz HSTS;
- enkripcija podataka u mirovanju: standardna enkripcija infrastrukture pružatelja usluge (AWS/Supabase);
- izolacija podataka između klinika (multi-tenant): Row Level Security (RLS) uključen i prisilno primijenjen (FORCE) na svim tablicama baze podataka, s izolacijom po klinici i automatiziranim testovima izolacije;
- integritet na razini baze podataka: ograničenja koja onemogućuju dvostruko rezerviranje istog termina te okidači koji onemogućuju upis podataka jedne klinike u evidencije druge;
- kontrola pristupa osoblja Klinike temeljem uloga (administrator, recepcija, zdravstveni djelatnik) po načelu najmanjih ovlasti;
- pristup pacijenata bez korisničkih računa, isključivo putem nepogodivih pristupnih tokena (capability token) dostavljenih e-poštom, uz Referrer-Policy zaštitu od otjecanja tokena prema trećim stranama;
- izolacija poslužiteljskih vjerodajnica: privilegirani servisni ključ dostupan isključivo poslužiteljskom okruženju, uz programsku zaštitu od upotrebe u pregledniku;
- evidencija radnji (audit log) za rezervacijske i administrativne radnje (akter, radnja, entitet, vrijeme);
- stroga sigurnosna HTTP zaglavlja i Content-Security-Policy koja onemogućuje učitavanje skripti trećih strana;
- tajne (pristupni ključevi i sl.) drže se izvan izvornog koda, u zaštićenim varijablama okruženja.
7.2. MEDKIT smije mjere iz stavka 7.1. mijenjati i unaprjeđivati, pod uvjetom da ukupna razina sigurnosti time ne bude smanjena.
7.3. Izjava o stanju. Popis iz stavka 7.1. odražava stvarno implementirane mjere na dan sastavljanja ovog nacrta. Formalizirani postupci sigurnosnih kopija i oporavka, neovisna penetracijska testiranja te dokumentirane organizacijske mjere (npr. politika upravljanja pristupom, program osposobljavanja osoblja) na dan sastavljanja ovog nacrta nisu zasebno dokumentirani i moraju biti uspostavljeni odnosno dokumentirani prije potpisivanja ovog Ugovora o obradi.
8. Podizvršitelji
8.1. Opća suglasnost. Klinika daje opću pisanu suglasnost za angažiranje podizvršitelja. Popis podizvršitelja angažiranih na dan sastavljanja ovog dokumenta:
| Podizvršitelj | Usluga | Lokacija obrade | Napomena o prijenosu u treće zemlje |
|---|---|---|---|
| Supabase, Inc. (SAD) | baza podataka i autentikacija (pohrana svih podataka Platforme) | AWS, regija eu-west-1 (Irska, EU) | pohrana u EU; društvo sa sjedištem u SAD-u — mehanizam prijenosa (DPF/standardne ugovorne klauzule) mora potvrditi pravni savjetnik |
| Vercel, Inc. (SAD) | web hosting, CDN, DNS i poslužiteljske funkcije | poslužiteljske funkcije u EU regiji fra1 (Frankfurt, Njemačka); CDN/edge mreža globalna | društvo sa sjedištem u SAD-u, globalna CDN/edge mreža — vidjeti članak 10.; mehanizam prijenosa mora potvrditi pravni savjetnik |
| Resend (transakcijski e-mail; slanje iz AWS regije eu-west-1) | slanje transakcijske e-pošte (potvrde termina s kalendarskom datotekom i poveznicom za otkazivanje; obavijesti s liste čekanja; poruke sadrže ime pacijenta i podatke o terminu) | regija slanja eu-west-1 (EU) | [ confirm Resend legal entity, corporate seat, and transfer mechanism] — mehanizam prijenosa mora potvrditi pravni savjetnik |
8.2. Obavijest o promjenama i pravo prigovora. MEDKIT obavješćuje Kliniku o svakoj namjeravanoj promjeni (dodavanju ili zamjeni) podizvršitelja najmanje [ subprocessor change notice period, e.g. 30 days] unaprijed, u pisanom obliku (uključujući e-poštom na adresu administratora Klinike). Klinika može u tom roku podnijeti obrazloženi prigovor. Ako stranke prigovor ne razriješe u dobroj vjeri, Klinika može raskinuti Glavni ugovor u dijelu koji se odnosi na uslugu pogođenu promjenom, bez naknade za prijevremeni raskid tog dijela.
8.3. Prijenos obveza. MEDKIT svakom podizvršitelju ugovorom nameće u bitnome iste obveze zaštite podataka kao što su obveze iz ovog Ugovora o obradi, osobito pružanje dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera. Ako podizvršitelj ne ispuni svoje obveze zaštite podataka, MEDKIT ostaje u cijelosti odgovoran Klinici za ispunjenje tih obveza.
9. Pomoć Klinici i povrede osobnih podataka
9.1. Pomoć kod zahtjeva ispitanika. Uzimajući u obzir prirodu obrade, MEDKIT pomaže Klinici odgovarajućim tehničkim i organizacijskim mjerama, koliko je to moguće, u ispunjavanju obveze Klinike da odgovori na zahtjeve za ostvarivanje prava ispitanika iz poglavlja III. Opće uredbe (članci 12.–23.). Stranke primaju na znanje da Platforma na dan sastavljanja ovog nacrta ne sadrži samoposlužne alate za izvoz, ispravak ili brisanje pojedinačnih zapisa o pacijentima; do uspostave takvih alata MEDKIT tu pomoć pruža ručno, na zahtjev Klinike upućen na privacy@medkit.ltd, u roku koji Klinici razumno omogućuje poštovanje zakonskih rokova.
9.2. Prosljeđivanje izravnih zahtjeva. Ako se ispitanik u vezi s obradom iz članka 3.1. obrati izravno MEDKIT-u, MEDKIT zahtjev bez nepotrebnog odgađanja prosljeđuje Klinici i ne odgovara meritorno bez upute Klinike, osim ako je to potrebno radi poštovanja prava Unije ili prava Republike Hrvatske.
9.3. Pomoć kod članaka 32.–36. MEDKIT pomaže Klinici u osiguravanju usklađenosti s obvezama iz članaka 32.–36. Opće uredbe (sigurnost obrade, izvješćivanje o povredama osobnih podataka, procjena učinka na zaštitu podataka i prethodno savjetovanje), uzimajući u obzir prirodu obrade i informacije koje su MEDKIT-u dostupne.
9.4. Povreda osobnih podataka. MEDKIT obavješćuje Kliniku bez nepotrebnog odgađanja nakon što sazna za povredu osobnih podataka koja se odnosi na podatke iz članka 5. Obavijest sadrži, u mjeri u kojoj su informacije dostupne: opis prirode povrede (uključujući, gdje je moguće, kategorije i približan broj ispitanika te zapisa), vjerojatne posljedice, mjere koje su poduzete ili se predlažu te kontaktnu točku za dodatne informacije; informacije se mogu dostavljati postupno. Odluku o izvješćivanju nadzornog tijela (AZOP) odnosno ispitanika za obradu iz članka 3.1. donosi Klinika kao voditelj obrade.
10. Prijenosi u treće zemlje (poglavlje V. Opće uredbe)
10.1. Osobni podaci iz članka 5. pohranjuju se u Europskoj uniji (Supabase, AWS regija eu-west-1, Irska).
10.2. Mogući prijenosi. Kako je navedeno u tablici iz članka 8.1.: (a) poslužiteljske funkcije Vercela — u kojima se izvršava aplikacijska logika Platforme, uključujući obradu podataka o rezervacijama u radnoj memoriji i zapisnicima zahtjeva — izvode se u EU regiji fra1 (Frankfurt, Njemačka), dok je Vercelova CDN/edge mreža za posluživanje sadržaja globalna; (b) Vercel i Supabase društva su sa sjedištem u SAD-u, a za uslugu Resend sjedište pružatelja i mehanizam prijenosa mora potvrditi pravni savjetnik; s pružanjem tih usluga stoga su mogući povezani prijenosi u treće zemlje.
10.3. MEDKIT ne prenosi osobne podatke iz članka 5. u treće zemlje izvan opsega navedenog u stavku 10.2. bez dokumentirane upute Klinike ili obveze prema pravu Unije odnosno pravu Republike Hrvatske.
10.4. Za svaki prijenos u treću zemlju primjenjuje se valjani mehanizam iz poglavlja V. Opće uredbe — odluka o primjerenosti (uključujući Okvir EU–SAD za privatnost podataka za certificirane organizacije) ili standardne ugovorne klauzule, uz dopunske mjere prema potrebi. Status svakog pojedinog dobavljača (DPF certifikacija odnosno sklopljene standardne ugovorne klauzule) mora provjeriti i potvrditi pravni savjetnik prije potpisivanja ovog Ugovora o obradi.
11. Brisanje i povrat podataka nakon prestanka Glavnog ugovora
11.1. Nakon prestanka Glavnog ugovora MEDKIT je obvezan, na pisani zahtjev Klinike i prema njezinu dokumentiranom izboru, vratiti Klinici sve osobne podatke iz članka 5. u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom obliku (npr. CSV/JSON izvoz iz baze podataka) i/ili ih izbrisati, osim ako pravo Unije ili pravo Republike Hrvatske nalaže daljnju pohranu (u kojem slučaju MEDKIT podatke zadržava samo u nužnom opsegu i uz ograničenje obrade).
11.2. Pisani zahtjev za povrat podataka Klinika može podnijeti u razdoblju od [ post-termination export window, e.g. 30 days] od prestanka Glavnog ugovora. MEDKIT ispunjava zahtjev za povrat, odnosno dovršava brisanje, u roku od [ deletion completion period, e.g. 30 days] od zaprimanja zahtjeva, odnosno od isteka navedenog razdoblja ako zahtjev nije podnesen.
11.3. Izjava o stanju. Povrat i brisanje ručni su postupci koje MEDKIT provodi na razini baze podataka; Platforma ne sadrži automatizirane alate za izvoz ni automatizirano brisanje podataka. [ deletion tooling pending — manual process] MEDKIT će od podizvršitelja zatražiti brisanje rezidualnih kopija u skladu s njihovim ugovorima o obradi.
11.4. Na pisani zahtjev Klinike MEDKIT potvrđuje da je brisanje izvršeno.
12. Revizija i dokazivanje sukladnosti
12.1. MEDKIT Klinici stavlja na raspolaganje sve informacije koje su nužne za dokazivanje poštovanja obveza iz članka 28. Opće uredbe.
12.2. Klinika ima pravo provoditi revizije, uključujući inspekcije, sama ili putem ovlaštenog revizora koji nije konkurent MEDKIT-a. Zbog višeklijentske (multi-tenant) prirode Platforme revizija se u pravilu provodi: (a) uvidom u dokumentaciju, opise tehničkih i organizacijskih mjera te dostupna izvješća i potvrde podizvršitelja; (b) tek ako to razumno nije dostatno, inspekcijom uz prethodnu pisanu najavu od najmanje [ audit notice period, e.g. 30 days], u redovno radno vrijeme, na način koji ne ugrožava sigurnost Platforme i bez pristupa podacima drugih klinika.
12.3. Svaka stranka snosi vlastite troškove revizije, osim ako revizija utvrdi bitnu povredu ovog Ugovora o obradi od strane MEDKIT-a.
13. Odgovornost
13.1. Odgovornost stranaka uređena je Glavnim ugovorom i člankom 82. Opće uredbe. Ništa u ovom Ugovoru o obradi ne isključuje niti ograničava odgovornost koja se prema mjerodavnom pravu ne može isključiti ni ograničiti.
14. Trajanje, izmjene i završne odredbe
14.1. Ovaj Ugovor o obradi stupa na snagu sklapanjem Glavnog ugovora i vrijedi dok traje obrada iz članka 3.1., uključujući razdoblje povrata i brisanja iz članka 11.
14.2. Izmjene ovog Ugovora o obradi valjane su samo u pisanom obliku, uključujući elektronički oblik predviđen Glavnim ugovorom.
14.3. Na ovaj Ugovor o obradi primjenjuje se pravo Republike Hrvatske; nadležnost suda određuje se prema Glavnom ugovoru.
14.4. Ako je pojedina odredba ovog Ugovora o obradi ništetna ili neprovediva, to ne utječe na valjanost ostalih odredaba; stranke će ništetnu odredbu zamijeniti valjanom koja je najbliža njezinoj svrsi.
14.5. Mjerodavni jezik. Hrvatska jezična verzija ovog dokumenta jedina je mjerodavna (obvezujuća); prijevodi na druge jezike služe isključivo radi lakšeg razumijevanja.
---
Posljednje ažuriranje: [ date]