Maistra
Provjerite cijene
Hoteli Resorti Kampovi Brendovi Destinacije Ponude Doživljaji Vrste Odmora

DODATAK: UGOVOR O OBRADI OSOBNIH PODATAKA

DODATAK: UGOVOR O OBRADI OSOBNIH PODATAKA

Ovim se Dodatkom: Ugovorom o obradi osobnih podatka („Dodatak“) uređuju pitanja povezana s obradom osobnih podataka koje razmjenjuju Ugovorne strane u okviru pružanja usluga („Dijeljeni osobni podaci“), na način koji je ugovoren sporazumom sklopljenim između Ugovornih stranaka („Osnovni ugovor“).

Ovaj Dodatak sklapa se kao Prilog Osnovnom ugovoru te se njime pobliže definiraju prava i obveze Ugovornih strana u skladu s primjenjivim propisima o zaštiti privatnosti i osobnih podataka, koji su na snazi i koji se primjenjuju u Republici Hrvatskoj za vrijeme važenja Osnovnog ugovora, uključujući i Uredbu (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18), Zakon o elektroničkim komunikacijama (NN 73/08, 90/11, 133/12, 80/13, 71/14, 72/17), sa svim izmjenama i dopunama te sve druge propise, zakone, odluke regulatornih tijela koji su na snazi, i koji obvezuju jednu od Ugovornih strana i odnose se na osobne podatke te, u mjeri u kojoj je to primjenjivo, propise o zaštiti privatnosti koji su primjenjivi u Europskoj uniji („Propisi o zaštiti podataka“).

Pojmovi Komisijavoditelj obrade osobnih podataka, obrada, izvršitelj obrade, pod-izvršitelj obrade osobnih podataka, osobni podaci i posebne kategorije osobnih podataka imaju isto značenje koje imaju u Općoj uredbi o zaštiti podataka, a njihovi srodni pojmovi se tumače na odgovarajući način

Ugovor o obradi osobnih podataka 

  1. Ugovorne strane ovime suglasno utvrđuju da Osobne podatke i Partner i Maistra obrađuju kao samostalni Voditelji obrade osobnih podataka, koji samostalno i neovisno utvrđuju svrhu obrade osobnih podataka, u kontekstu njihovog poslovnog odnosa i u skladu s izvršavanjem prava i obveza preuzetih na temelju odredbi Osnovnog ugovora te na način predviđen pravilima o zaštiti osobnih podataka svake ugovorne strane, koji su na snazi za vrijeme važenja Osnovnog ugovora, a u skladu s odredbama Propisa o zaštiti podataka. 

  2. Ugovorne strane suglasno utvrđuju da će, u slučaju da jedna od Ugovornih strana u tijeku poslovnog odnosa postane izvršitelj obrade osobnih podataka koji postupa po uputama druge ugovorne strane kao Voditelja obrade, Ugovorne strane sklopiti Ugovor o obradi osobnih podataka u skladu s odredbama čl. 28. Opće uredbe o zaštiti podataka, kojim će regulirati prava i obveze voditelja obrade s jedne strane te izvršitelja obrade, s druge strane.

  3. Svaka Ugovorna strana će, u kontekstu poslovnog odnosa zasnovanog Osnovnim ugovorom, obrađivati osobne podatke isključivo u srhu pružanja usluge smještaja te drugih povezanih usluga gostima ili zaposlenicima Partnera, na način pobliže definiran Osnovnim ugovorom („Dogovorene svrhe“). U svrhu pružanja usluga ugovorenih Osnovnim ugovorom, a što je detaljnije definirano dalje u tekstu, Ugovorne strane će razmjenjivati osobne stranke na sljedeće načine: (i) putem e-maila, kojim će Partner poslati Maistri Najavu, odnosno Listu rezervacija; ili (ii) putem online rezervacijskog sustava „Phobs“, koji je integriran na web stranici kojom upravlja Partner, a kojoj Maistri pristupa putem „Extranet“ sustava, ili (iii) u slučaju korporativnih ugovora o poslovnoj suradnji, izravnim kontaktom s Maistrinim centrom za rezervacije, telefonskim putem ili putem e-maila. 

  4. U svrhu obrade Osobnih podataka u Dogovorene svrhe, Partner će dostaviti Maistri sljedeće vrste osobnih podataka: Identifikacijski podaci (ime i prezime), spol, datum rođenja ili dob, država prebivališta, Datum dolaska, Datum odlaska, vrsta smještaja i usluge (hotel / resort / kamp), Kontakt podaci (broj telefona, e-mail), podaci o osobnim dokumentima (ako je potrebno), i to: broj, vrsta, datum izdavanja, rok važenja, mjesto izdavanja, broj vouchera ili rezervacije, podaci o letu (ako je potrebno), povezani gosti, cijena, posebni zahtjevi te dodatne napomene.

  5. Ugovorne strane mogu razmijeniti i druge podatke povezane s gostima i njihovim posebnih zahtjevima ili bilo koje druge relevantne informacije o dolasku gosta i njihovom boravku, ako je to potrebno u okviru ispunjenja Osnovnog ugovora ili u slučaju bilo kojih dodatnih zahtjeva ili postupaka za kompenzacije ili naknade štete. 

  6. Osim osobnih podataka koje se odnose na goste, Ugovorne strane u okviru njihovog poslovnog odnosa i izvršavanja svrhe Osnovnog ugovora, mogu razmijeniti i informacije koje se odnose na zaposlenike Maistre i Partnera, uključujući i: ime i prezime, kontakt podatke (e-mail i telefonski broj), titulu i poslovnu funkciju zaposlenika. 

  7. Ugovorne strane će Dijeljene osobne podatke obrađivati za vrijeme trajanja poslovnog odnosa te onoliko koliko je potrebno za ispunjenje obveza koje proizlaze 

  8. Ugovorne strane će osigurati da:

    • isključivo (i) zaposlenici ili savjetnici Ugovorne strane; (ii) zaposlenici ili savjetnici izvršitelja ili pod-izvršitelja Ugovorne strane s kojim je sklopljen ugovor u skladu s odredbama Propisa o zaštiti podataka, ili (iii) druge osobe s kojima su sklopljeni ugovori radi ispunjenja obveza iz Osnovnog ugovora („Ovlašteno osoblje“) ima pravo pristupa Osobnim podacima, pod uvjetom da su na adekvatan način educirane o obradi osobnih podataka; 
    • provođenje redovitih aktivnosti osvješćivanja stupanja razine zaštite osobnih podataka, uključujući i provođenje edukacija i treninga;
    • u svakom pojedinom slučaju da pristup bude strogo ograničen na one pojedince kojima je pristup Osobnim podacima nužan radi izvršenja usluga iz Osnovnog ugovora;
    • osigurati da se Ovlašteno osoblje obveže na poštivanje povjerljivosti ili da je vezano zakonskim obvezama o čuvanju povjerljivosti osobnih podataka. 

  9. Ugovorne strane potvrđuju da će Dijeljene osobne podatke prenositi izvan Europskog gospodarskog prostora isključivo (i) ako se za tu državu primjenjuje Odluka o primjerenosti u pogledu nadležnosti za primanje podataka pri međunarodnom prijenosu; ili (ii) uz primjenu klauzula koje se primjenjuju na temelju Provedbene odluke Komisije (EU) 2021/915 od 4. lipnja 2021. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća ili bilo kojeg drugog tekst koji će Europska unija prihvatiti i kojim će se zamijeniti, izmijeniti ili dopuniti tekst standardnih ugovornih klauzula usvojen na temelju Provedbene odluke Komisije (EU) 2021/915 („Standardne ugovorne klauzule“).

  10. Ugovorne strane će, vodeći računa o svim objektivno prepoznatljivim okolnostima ili događajima koje imaju mogućnost štetnog utjecaja na podatke („Rizici“) povezanima s vjerojatnošću i stupnju ugroze prava i sloboda fizičkih osoba koja time može nastati, implementirati odgovarajuće sigurnosne i tehničke mjere koje su prikladne i koje odgovaraju stupnju rizika, uključujući i mjere zaštite od neovlaštene ili nezakonite obrade Osobnih podataka, kao i od slučajnog uništenja ili gubitka Osobnih podataka, uključujući (i) pseudonimizacija i enkripcija Osobnih Podataka; (ii) sposobnost osiguranja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava Obrade; (iii) sposobnost pravodobne uspostave dostupnosti i pristupa Osobnim Podacima u slučaju fizičkog ili tehničkog incidenta; i (iv) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti Obrade**.** 

  11. Organizacijske i tehničke mjere koje će Ugovorne strane provoditi u svojim sustavima u kojima se koriste Osobni podaci, uključuju, bez ograničenja: (i) mogućnost identifikacije i prepoznavanja svih Rizika; (ii) zaštitu sustava u kojima se nalaze Osobni podaci; (iii) mogućnost prepoznavanja svih promjena koje mogu utjecati na sigurnost sustava u kojima se nalaze Osobni podaci na način koji utječe na povjerljivost, integritet i dostupnost podataka („Sigurnosni događaj“); (iv) mogućnost odgovora na Sigurnosni događaj; (v) mogućnost oporavka sustava u kojem se nalaze Osobni podaci nakon događaja koji ima stvarni negativni učinak na integritet, tajnost ili dostupnost informacija („Sigurnosni incident“). 

  12. Ugovorne strane će bez odgode, a najkasnije u roku od 36 sati, obavijestiti jedna drugu o bilo kojem događaju za koji postoji osnovana sumnja da predstavlja slučaj povrede sigurnosti za koju postoji vjerojatnost da će prouzročiti slučajno ili nezakonito uništenje, gubitak, mijenjanje, neovlašteno iznošenje Dijeljenih osobnih podataka ili neovlašteni pristup Dijeljenim osobnim podacima (“Povreda osobnih podataka“). Obavijest o slučaju Povrede osobnih podataka sadržavat će i sljedeće informacije: (i) okolnosti i činjenice povrede, uključujući i količinu i vrste te kategorije Osobnih podataka koje su obuhvaćeni incidentom ili događajem; (ii) kontaktne podatke službenika za zaštitu podataka te drugih predstavnika koji su kod ugovornih strana zaduženi za provođenje interne istrage; (iii) procjenu posljedica ili potencijalnih posljedica koje bi mogle proizaći iz povrede osobnih podataka; (iv) mjere koje se poduzimaju kako bi ublažili i otklonili posljedice sigurnosnog incidenta i potencijalne sigurnosne povrede. 

  13. U slučaju sigurnosnog incidenta, ugovorne strane će poduzeti sve potrebne mjere u svrhu ublažavanja Povrede osobnih podataka i smanjivanja štete koja je time nastala ili bi tim sigurnosnim incidentom mogla nastati. 

  14. Ugovorne strane će surađivati na otklanjanju svih negativnih posljedica slučajeva Povrede osobnih podataka, povratu svih Osobnih podataka te otklanjanju bilo kojih kvarova ili ranjivosti koje su mogle dovesti do takvog događaja. 

  15. Ugovorne strane će provoditi tehničke i organizacijske mjere u svrhu ispunjenja obveza koje se odnose na pružanje odgovora na zahtjeve ostvarivanja prava ispitanika na temelju Propisa o zaštiti podataka te će međusobno pružiti pomoć i podršku u odgovaranju na takve zahtjeve, u dijelu u kojem se takvi zahtjevi odnose na Osobne podatke.

  16. Ugovorne strane će, u slučaju da je takva procjena potrebna na temelju Propisa o zaštiti podataka, jedna drugoj pružiti odgovarajuću podršku prilikom procjene učinka na zaštitu podataka u odnosu na Osobne podatke, kao i u slučaju potrebe provođenja prethodnog savjetovanja s Nadzornim tijelima, ako na temelju članka 35. ili 36. GDPR-a postoji potreba za provođenjem takvog savjetovanja. 

  17. Partner potvrđuje da će pri obradi Dijeljenih osobnih podataka primjenjivati tehničke i organizacijske mjere zaštite u skladu sa standardima struke, tako da su iste najmanje usporedive s razinom zaštite podataka koja se postiže primjenom sljedećih organizacijskih tehničkih mjera:

    • Primjenjuju se organizacijske i tehničke mjere koje su usklađene sa zahtjevima koji proizlaze iz Opće uredbe o zaštiti podataka te Propisa o zaštiti podataka. 

    • Primjenjuju se prikladne mjere kojima se smanjuje mogućnost da Sigurnosni incidenti nepovoljno utječu na pružanje usluge koja je predmet Osnovnog ugovora, radi osiguranja zaštite Osobnih podataka. 

    • Tehničke i organizacijske mjere koje se primjenjuju radi zaštite osobnih podataka će uključivati i:

      • Mogućnost identifikacije Rizika; 
      • Mjere zaštite sustava u kojima se nalaze Osobni podaci; 
      • Mogućnost odgovoriti na Sigurnosni incident; i
      • Mogućnost oporavka sustava u kojima se nalaze Osobni podaci nakon Sigurnosnog incidenta.

    • Radi osiguravanja mogućnosti identifikacije Rizika, provode se aktivnosti kojima će se:

      • Redovito identificirati i dokumentirati vanjske i unutarnje Rizike Osobnim podacima; 
      • Dokumentirati i rješavati ranjivosti sustava koje mogu predstavljati Rizik Osobnim podacima; 
      • Sustavno pristupati upravljanju Rizicima, između ostalog i kroz provođenje redovitih kampanja osvješćivanja o pitanjima informacijske sigurnosti; 
      • Popisati sve fizičke uređaje i sustave koji se koriste;
      • Popisati softverska rješenja, programe i aplikacije koji se koriste; 
      • Osigurati da su zaposlenici upoznati s donesenim politikama, procedurama, pravilnicima i smjernicama kojima se uređuju regulatorni, pravni i operativni zahtjevi te da je Uprava informirana o Rizicima; 
      • Osigurati da postoji utvrđena politika informacijske sigurnosti ili sličan interni akt i da su zaposlenici upoznati sa zahtjevima koji proizlaze iz tog dokumenta; 
      • Osigurati da je jasno utvrđena odgovornost pojedinih rola i zaposlenika za informacijsku sigurnost te da su o tome obaviješteni vanjski partneri i ključno osoblje Partnera; 
      • Osigurati da postoje dokumentirane i uspostavljene procedure za upravljanje Rizicima. 

    • Poduzimaju se mjere kojima se može smanjiti ili ograničiti posljedice Sigurnosnog Incidenta na Dijeljene osobne podatke i rizike pravima i slobodama fizičkih osoba koji bi time mogli nastati. 

    • Pristup Dijeljenim osobnim podacima će biti ograničen na one osobe koje su prema naravi posla ovlaštene imati pristup takvim podacima, i kojima je takav pristup razumno potreban te će osigurati da se svim procesima i uređajima na kojima se pristupa osobnim podacima kontinuirano vrše sve sigurnosne provjere i analize, uključujući i provjeru rizika, i to:

      • Provjere identiteta i sigurnosnih vjerodajnica u odnosu na osobe, procese i uređaje; 
      • Osiguravanje i provjera fizičkog pristupa uređajima;
      • Upravljanje načinima udaljenog pristupanja; 
      • Upravljanje ovlaštenjima za pristup podacima;
      • Lozinke se ne prenose u tekstualnom obliku, niti se prikazuju na ekranu, odnosno ne zapisuju se čitljivom obliku; 
      • Štiti se integritet mreže (npr. segmentacija);
      • Korisnici, uređaji i druga IT imovina se redovno provjerava u skladu s procjenom Rizika. 

    • Svi korisnici Sustava su upoznati s rizicima te su na odgovarajući način obučeni za ispunjavanje svojih poslovnih zadataka te dužnosti u smanjenju rizika Sustavima i Dijeljenim osobnim podacima.

    • Svi privilegirani korisnici shvaćaju vlastite odgovornosti i uloge u odnosu na Dijeljene osobne podatke, uključujući i obvezu čuvanja tajnosti podataka o njihovim korisničkim računima i lozinkama;

    • Svo osoblje je prošlo edukaciju o zaštiti osobnih podataka i informacijskoj sigurnosti; 

    • Uprava shvaća važnost zaštite podataka i informacijske sigurnosti te ulogu u promicanju zaštite podataka iskazano na formalan način. 

    • Redovito će se upravljati ranjivostima sustava, kako bi se osiguralo da su sva softverska rješenja i softveri ažurni i da se koristi najnovija verzija istih, pravovremenim instaliranje sigurnosnih zakrpi, i to:

      • Uspostavom dokumentiranog internog pravilnika ili procedura kojim će biti uređen način upravljanja ranjivostima sustava;
      • Sustavnim praćenjem izdanih sigurnosnih zakrpi; 
      • Dokumentiranjem zakrpi koje su izašle, ali nisu instalirane;
      • Mehanizmom instaliranja zakrpi po sustavu; 
      • Zahtjevom da se ključne zakrpe instaliraju bez odgode. 

    • Osigurat će se zaštita prenosivih medija.

    • Osigurat će se da je sva komunikacija koja uključuje Osobne podatke zaštićena.

    • Osigurat će se da se primjenjuju sustavi vanjske zaštite i otkrivanja prijetnji i gubitka podataka (npr. firewall). 

    • Uvest će se praćenje sustava koje omogućuje uočavanje zlonamjernih programa.

Trebate pomoć?

Kontaktirajte nas Česta pitanja Promjena/otkaz rezervacije
Naše destinacije
Konferencije
O Maistri
Ostalo
Maistra
© 2025 Maistra d.d. član je Adris grupe