Ugovor o obradi podataka (UOP) sukladno čl. 28. GDPR-a između Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – u nastavku „Izvršitelj obrade“ – i odgovarajućeg klijenta – u nastavku „Voditelj obrade“ –

1. Predmet i trajanje obrade

(1) Izvršitelj obrade pruža Voditelju obrade usluge u području IT sigurnosti i otkrivanja botova putem usluge „SilentShield.io“.

(2) Predmet obrade je automatizirana analiza i filtriranje tokova podataka radi otkrivanja i sprječavanja napada te zloporabe pristupa.

(3) Trajanje obrade odgovara trajanju odgovarajućeg glavnog ugovora.

2. Priroda i svrha obrade

Obrada se provodi posebice u sljedeće svrhe:

• Otkrivanje i sprječavanje automatiziranog pristupa (botovi)
• Zaštita od napada (npr. DDoS, spam)
• Osiguranje stabilnosti i dostupnosti sustava
• Analiza obrazaca pristupa radi sprječavanja prijetnji

Automatizirane odluke (npr. blokiranje zahtjeva) mogu se donositi u mjeri u kojoj je to potrebno za sigurnost sustava.

3. Vrste podataka

• IP adrese
• Podaci iz HTTP zaglavlja
• Informacije o pregledniku i uređaju
• Podaci o pristupu (vremenska oznaka, URL, zahtjevi)
• Podaci o interakciji i ponašanju

4. Kategorije ispitanika

• Posjetitelji web stranica Voditelja obrade
• Korisnici mrežnih usluga Voditelja obrade

5. Obveze Voditelja obrade

(1) Voditelj obrade odgovoran je za zakonitost obrade podataka.

(2) Voditelj obrade osigurava da je ovlašten prenositi podatke Izvršitelju obrade.

(3) Voditelj obrade ispunjava svoje obveze informiranja prema ispitanicima.

6. Obveze Izvršitelja obrade

Izvršitelj obrade:

• obrađuje podatke isključivo na temelju dokumentiranih uputa
• osigurava odgovarajuće tehničke i organizacijske mjere
• osigurava povjerljivost
• pruža potporu pri ostvarivanju prava ispitanika
• pruža potporu pri procjenama učinka na zaštitu podataka

7. Tehničke i organizacijske mjere (TOM)

Izvršitelj obrade provodi posebice sljedeće mjere:

• TLS/SSL enkripcija
• Kontrole pristupa i modeli uloga
• Bilježenje i praćenje
• Zaštita od neovlaštenog pristupa
• Redovite sigurnosne revizije

8. Podizvršitelji

• Cloudflare, Inc. (SAD) – CDN, WAF, proxy, DDoS zaštita
• STRATO AG (Njemačka) – Hosting i infrastruktura

(2) Izvršitelj obrade osigurava da su svi podizvršitelji obvezani sukladno čl. 28. GDPR-a.

(3) Voditelj obrade daje opću suglasnost za korištenje ovih podizvršitelja.

(4) Ažurirani popis podizvršitelja dostupan je na zahtjev ili putem web stranice.

9. Prijenos u treće zemlje

(1) Može doći do prijenosa osobnih podataka u treće zemlje (posebice SAD).

(2) Takvi prijenosi provode se isključivo u skladu s GDPR-om, posebice putem:

• Standardnih ugovornih klauzula EU (čl. 46. GDPR-a)
• Prema potrebi, Okvir za zaštitu podataka EU-SAD

10. Prava nadzora

(1) Voditelj obrade ima pravo provjeriti usklađenost s ovim ugovorom.

(2) Izvršitelj obrade pruža odgovarajuće informacije u tu svrhu.

(3) Revizije moraju biti najavljene u razumnom roku i ne smiju nerazmjerno ometati poslovanje.

11. Brisanje podataka

Po prestanku ugovora, osobni podaci se brišu ili vraćaju prema izboru Voditelja obrade, osim ako postoje zakonske obveze čuvanja.

12. Odgovornost

Primjenjuju se odredbe o odgovornosti iz glavnog ugovora.