Ugovor o obradi podataka

UVODNE ODREDBE:


Ovaj Ugovor o obradi ličnih podataka (Data Protection Agreement – DPA) predstavlja sastavni dio Uslova korištenja i Politike privatnosti koji su objavljeni na Mojafirma platformi (https://www.mojafirma.ba/uslovi-koriscenja  i PP kad se novi objave)  i uređuje obradu ličnih podataka koja je potrebna za izvršenje Ugovora o pružanju usluga u skladu sa Zakonom o zaštiti ličnih podataka Bosne i Hercegovine ("Službeni glasnik Bosne i Hercegovine", br. 12/2025 od: 28.02.2025) ( u daljem tekstu: ZZLP BiH)

Cilj ovog Ugovora je da se, u skladu sa Zakonom o zaštiti ličnih podataka Bosne i Hercegovine ("Službeni glasnik Bosne i Hercegovine", br. 12/2025 od: 28.02.2025) i Opštom uredbom o zaštiti podataka (GDPR), jasno definišu obaveze i odgovornosti Kontrolora i Obrađivača, te uspostavi okvir za sigurnu, zakonitu i transparentnu obradu ličnih podataka u okviru usluga koje privredni subjekt "B office" d.o.o.  pruža.

Obrađivač  je isključivi vlasnik softverskog rješenja MojaFirma, softvera zasnovanog na cloud tehnologiji (tehnologiji oblaka), koji je namijenjen podršci preduzetnicima, malim i srednjim privrednim društvima  na lokalnom tržištu.

Kontrolor je registrovani korisnik naprijed opisane MojaFirma platforme. 

POJMOVI:

  • ”ZZLP” je Zakon o zaštiti ličnih podataka BiH ("Službeni glasnik Bosne i Hercegovine", br. 12/2025 od: 28.02.2025)
  • “GDPR” je Opšta uredba o zaštiti podataka (EU) 2016/679
  • "lični podatak" je svaki podatak koji se odnosi na fizičko lice čiji je identitet utvrđen ili se može utvrditi;
  • "nosilac podataka" je fizičko lice čiji je identitet utvrđen ili čiji se identitet može utvrditi, posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog lica;
  • "obrada" je svaki postupak ili skup postupaka koji se obavlja na ličnim podacima ili na skupovima ličnih podataka, automatiziranim ili neautomatiziranim sredstvima, kao što su: prikupljanje, evidentiranje, organizacija, strukturiranje, čuvanje, prilagođavanje ili izmjena, pronalaženje, ostvarivanje uvida, upotreba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničenje, brisanje ili uništavanje;
  •  "pseudonimizacija" je obrada ličnog podatka tako da se lični podatak više ne može pripisati određenom nosiocu podataka bez korištenja dodatnih informacija, uz uslov da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacionim mjerama kako bi se osiguralo da se lični podatak ne može pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
  • „anonimizacija“ je postupak trajne obrade ličnih podataka kojim se podaci mijenjaju ili brišu tako da fizičko lice više ne može biti identifikovano ni posredno ni neposredno, čime podaci prestaju biti lični podaci u smislu propisa o zaštiti podataka.
  • "kontrolor podataka" je fizičko ili pravno lice, javni organ ili nadležni organ koji samostalno ili s drugim određuje svrhe i sredstva obrade ličnih podataka. Kada su svrhe i sredstva takve obrade utvrđeni zakonom, kontrolor podataka ili posebni kriteriji za njegovo imenovanje propisuju se zakonom;
  •  "obrađivač" je fizičko ili pravno lice, javni organ koji obrađuje lične podatke u ime kontrolora podataka;
  • "primalac" je fizičko ili pravno lice, javni organ kome se otkrivaju lični podaci, nezavisno od toga da li je u pitanju treća strana. Javni organi koji mogu primiti lične podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primaocima, ali obrada tih podataka mora biti u skladu s važećim pravilima o zaštiti podataka prema svrhama obrade;
  • "treća strana" znači fizičko ili pravno lice, javni organ, Agencija ili drugo tijelo koje nije nosilac podataka, kontrolor podataka, obrađivač ni lica koja su ovlaštena za obradu ličnih podataka pod neposrednom nadležnošću kontrolora podataka ili obrađivača;
  •  "saglasnost" nosioca podataka je svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje volje nosioca podataka kada on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu ličnih podataka koji se na njega odnose;
  •  "povreda ličnog podatka" je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa ličnim podacima koji su preneseni, čuvani ili na drugi način obrađivani;
  • "privredni subjekat" je fizičko ili pravno lice koje obavlja privrednu djelatnost, bez obzira na pravni oblik te djelatnosti;

Svi ostali pojmovi koji se pominju u ovom Ugovoru, a nisu izričito definisani ovim članom, imaće značenje propisano ZZLP.

Član 1.

Predmet Ugovora

1.1. Ovim Ugovorom uređuje se obrada ličnih podataka koju "B office" d.o.o. , kao Obrađivač, vrši u ime i po nalogu registrovanog korisnika platforme MojaFirma kao Kontrolora, u okviru pružanja usluga definisanih Uslovima korištenja.

1.2. Obrada se vrši isključivo u svrhe određene ovim Ugovorom i u skladu s dokumentovanim uputstvima Kontrolora.

1.3. Uputstva Kontrolora dostavljaju se Obrađivaču putem MojaFirma platforme ili drugim dokumentovanim kanalima komunikacije koje Kontrolor i Obrađivač koriste u redovnoj poslovnoj saradnji (npr. e-mail, ticketing sistem, službeni dopisi)

1.4. Ovaj Ugovor obuhvata sve tehničke i organizacione radnje u vezi s obradom ličnih podataka potrebne za izvršenje obaveza Obrađivača prema Kontroloru.

Član 2.

Priroda i svrha obrade

2.1. Obrada ličnih podataka vrši se pretežno automatizovano putem softverskog rješenja MojaFirma, u okviru funkcionalnosti koje su dostupne kroz odabrani paket usluga, kako je isti opisan na zvaničnoj web stranici Obrađivača (www.mojafirma.ba/paketi), uz mogućnost ograničene ručne obrade od strane korisnika (Kontrolora), kao i od strane Obrađivača isključivo u svrhu pružanja tehničke podrške i održavanja sistema.

2.2. Priroda obrade obuhvata naročito:

  • prikupljanje, unos i pohranu ličnih podataka korisnika i podataka koje korisnici unose o trećim licima (npr. klijenti, poslovni partneri);
  • organizaciju, strukturiranje i povezivanje podataka u okviru funkcionalnosti sistema;
  • pregled, obradu, izmjenu i generisanje poslovne dokumentacije (npr. fakture, evidencije, izvještaji);
  • tehničku obradu podataka u svrhu funkcionisanja aplikacije, uključujući hosting, sigurnosne kopije, upravljanje pristupom i ažuriranje sistema;
  • ograničen pristup podacima od strane Obrađivača u svrhu pružanja tehničke podrške i otklanjanja grešaka;
  • čuvanje, brisanje ili trajno uklanjanje podataka po zahtjevu korisnika ili prestanku korištenja usluge.

2.3. Obrada ličnih podataka vrši se isključivo u svrhu omogućavanja korištenja funkcionalnosti aplikacije MojaFirma, u obimu koji odgovara odabranom paketu usluga i njegovim funkcionalnostima, kako su opisane na web stranici Obrađivača, a naročito:

  • Evidencija proizvoda i usluga
  • Evidencija klijenata
  • Izrada ino i domaćih faktura
  • Generisanje PDF fakture
  • Praćenje statusa fakture
  • Pregled trenutnog poslovanja
  • Neograničen broj faktura
  • Generisanje knjige prihoda
  • Slanje fakture putem mejla
  • Izdavanje fiskalnih računa u skladu sa zakonom
  • upravljanja podacima o klijentima, kupcima i poslovnim partnerima;
  • praćenja prihoda, rashoda i drugih poslovnih tokova;
  • generisanja izvještaja, pregleda i analitičkih prikaza podataka;
  • pružanja korisničke i tehničke podrške;
  • održavanja, unapređenja i sigurnosti sistema.

2.4. Obrađivač ne koristi lične podatke za sopstvene svrhe, uključujući marketing ili profilisanje, već isključivo u svrhu izvršavanja Ugovora i omogućavanja funkcionisanja aplikacije, osim u mjeri u kojoj se podaci koriste u agregiranom i anonimizovanom obliku u statističke ili razvojne svrhe.

2.5. Obrada ličnih podataka vrši se isključivo u obimu koji odgovara funkcionalnostima odabranog paketa usluga, kao i dodatnim opcijama koje je Kontrolor aktivirao u okviru aplikacije.

2.6. Podaci koje Kontrolor unosi u sistem, uključujući podatke o trećim licima, obrađuju se isključivo na osnovu uputstava Kontrolora, koji je odgovoran za zakonitost njihovog prikupljanja i obrade.

2.7. U slučaju prestanka korištenja usluge ili na zahtjev Kontrolora, lični podaci se brišu ili trajno uklanjaju iz sistema, osim ako je njihovo čuvanje obavezno na osnovu važećih propisa.

2.8. Obrada ličnih podataka ne uključuje donošenje automatizovanih odluka niti profilisanje u smislu važećih propisa o zaštiti ličnih podataka.

2.9. Obrada se obavlja isključivo za navedene svrhe i ne može se koristiti za bilo koju drugu svrhu bez prethodne pisane saglasnosti Kontrolora.

Član 3.

Kategorije nosilaca podataka

3.1. Obrada ličnih podataka može obuhvatati sljedeće kategorije nosilaca podataka, u zavisnosti od načina korištenja aplikacije od strane Kontrolora:

  • klijente, kupce, dobavljače i poslovne partnere Kontrolora, čiji se podaci unose u sistem radi vođenja evidencija, fakturisanja, komunikacije i realizacije poslovnih odnosa;
  • fizička lica čiji se podaci pojavljuju u poslovnoj dokumentaciji, uključujući podatke sadržane u fakturama, evidencijama, finansijskim zapisima i drugim dokumentima koje Kontrolor unosi u aplikaciju;
  • kontakt osobe i druga lica uključena u poslovnu komunikaciju, čiji se podaci obrađuju u okviru korištenja funkcionalnosti aplikacije (npr. ime, e-mail, telefon i sl.).

3.2. Obrada ličnih podataka odnosi se isključivo na kategorije lica čije podatke Kontrolor samostalno unosi ili na drugi način obrađuje putem aplikacije, te Obrađivač nema uticaj na izbor kategorija nosilaca podataka.

3.3. Obim kategorija nosilaca podataka zavisi od konkretne upotrebe aplikacije od strane Kontrolora, pri čemu se obrada vrši isključivo u okviru funkcionalnosti koje Kontrolor koristi.

3.4. Obrađivač ne određuje niti ograničava kategorije nosilaca podataka, već iste određuje isključivo Kontrolor u skladu sa svojim poslovnim potrebama i važećim propisima.

Član 4.

Vrste ličnih podataka koji se obrađuju

4.1.  Vrste ličnih podataka koji se mogu obrađivati putem aplikacije MojaFirma, u okviru funkcionalnosti odabranog paketa usluga, kako je isti opisan na web stranici Obrađivača (www.mojafirma.ba/paketi), a gdje „B office“ d.o.o. nastupa u svojstvu obrađivača, uključuju naročito:

  • podatke o klijentima, kupcima i poslovnim partnerima Kontrolora: ime i prezime, adresa, e-mail, broj telefona, bankovni podaci (npr. broj računa/IBAN);
  • finansijske i poslovne podatke koje Kontrolor unosi u sistem: podaci sadržani u fakturama, evidencijama prihoda i rashoda, transakcijama, kao i drugi podaci relevantni za poslovno knjigovodstvo i evidenciju;
  • podatke sadržane u poslovnoj dokumentaciji koju Kontrolor kreira ili učitava putem aplikacije;
  • tehničke i sigurnosne podatke: podaci o vremenu registracije i prijave korisnika, kao i drugi tehnički podaci koji se obrađuju u svrhu sigurnosti i funkcionisanja aplikacije.

4.2. Obrađivač ne određuje niti utiče na konkretne vrste ličnih podataka koje Kontrolor unosi u sistem, već se obrada vrši isključivo na osnovu aktivnosti i potreba Kontrolora.

4.3.  Konkretan obim i vrste ličnih podataka koji se obrađuju zavise od odabranog paketa usluga i funkcionalnosti koje Kontrolor koristi, kako su iste opisane na web stranici Obrađivača, pri čemu Obrađivač ne određuje niti utiče na konkretne vrste podataka koje Kontrolor unosi u sistem.

4.4. Obrađivač ne vrši obradu posebnih kategorija ličnih podataka, osim u slučaju kada ih Kontrolor samostalno unese u sistem, u kojem slučaju Kontrolor snosi punu odgovornost za zakonitost takve obrade.

Član 5.

Mjesto obrade i prenos ličnih podataka u drugu državu 

5.1. Lični podaci koji se obrađuju putem MojaFirma platforme fizički se pohranjuju i obrađuju na serverskoj infrastrukturi kompanije Dream Technologies Group d.o.o koja se nalazi u R.Srbiji, Beograd u okviru hosting usluge.

5.2.Dream Technologies Group d.o.o implementira vrhunske standarde zaštite, uključujući fizičke, tehničke i administrativne mjere koje osiguravaju bezbjednost informacija. 

5.3. Ove mjere uključuju, ali nisu ograničene na, enkripciju podataka tokom prenosa i skladištenja, kao i redovne bezbjednosne provjere i audit-e.

5.4. Administrativne aktivnosti, tehnička podrška i održavanje sistema mogu se obavljati iz sjedišta Obrađivača u Banjoj Luci, pri čemu Obrađivač osigurava jednak nivo tehničke i organizacione zaštite kao na primarnoj lokaciji obrade.

5.5. Prenos ličnih podataka iz Bosne i Hercegovine u R.Srbiju vrši se u skladu sa članom 47. Zakona o zaštiti ličnih podataka Bosne i Hercegovine, budući da R.Srbija obezbjeđuje adekvatan nivo zaštite ličnih podataka, te nije potrebna posebna saglasnost nadzornog organa.

5.6. Svaki dalji prenos ličnih podataka u treće zemlje ili međunarodne organizacije, ako bi se vršio, zahtijeva prethodnu pisanu saglasnost Kontrolora i mora biti u skladu sa relevantnim odredbama Zakona o zaštiti ličnih podataka BiH i Opšte uredbe (EU) 2016/679 (GDPR).

Član 6.

Prava i obaveze Kontrolora

6.1. Kontrolor je odgovoran za zakonitost prikupljanja, obrade i korištenja ličnih podataka koji se obrađuju putem MojaFirma platforme, uključujući tačnost, ažurnost i adekvatnost prikupljenih podataka u odnosu na svrhu obrade.

6.2. Kontrolor je dužan da, prije započinjanja obrade, obavijesti subjekte podataka (npr. svoje zaposlene, klijente, partnere) o svrsi, pravnom osnovu i obimu obrade, te da osigura postojanje valjanog pravnog osnova za svaku kategoriju obrade u skladu sa važećim propisima o zaštiti ličnih podataka.

6.3. Kontrolor zadržava sva prava i odgovornosti u pogledu ličnih podataka koji se obrađuju u okviru MojaFirma platforme, te samostalno određuje svrhu i sredstva obrade, u skladu sa ZZLP i internim politikama o zaštiti podataka.

6.4. Kontrolor je dužan obezbijediti da su ovlašćena lica koja imaju pristup sistemu upoznata sa svojim obavezama povjerljivosti i postupanja s ličnim podacima, kao i da preduzme odgovarajuće tehničke i organizacione mjere zaštite.

6.5. Kontrolor snosi odgovornost prema subjektima podataka i nadzornim organima za svaku nezakonitu ili neovlašćenu obradu ličnih podataka, osim ako je dokazano da je do povrede došlo isključivo usljed postupanja Obrađivača protivno njegovim dokumentovanim uputstvima.

Član 7. 

Obaveze Obrađivača

7.1.  Obrađivač obrađuje lični podatak samo prema dokumentovanim uputstvima kontrolora podataka, između ostalog i u vezi s prenosom ličnog podatka u drugu državu ili međunarodnu organizaciju, osim ako je to propisano posebnim zakonom koji se primjenjuje na obrađivača, a u tom slučaju obrađivač obavještava kontrolora podataka o tom pravnom zahtjevu prije obrade, osim ako se tim zakonom zabranjuje takvo obavještavanje zbog važnih razloga od javnog interesa;

7.2. Obrađivač osigurava da su se lica ovlaštena za obradu ličnog podatka obavezala na poštivanje povjerljivosti ili da ih na poštivanje povjerljivosti obavezuje odgovarajući zakon;

7.3. Obrađivač preduzima sve potrebne mjere u skladu s članom 34. ZZLP;

7.4. Obrađivač  poštuje uslove ZZLP u vezi sa  angažovanjem drugog obrađivača;

7.5. Obrađivač,uzimajući u obzir prirodu obrade, pomaže kontroloru podataka putem odgovarajućih tehničkih i organizacionih mjera, koliko je to moguće, da ispuni obavezu kontrolora podataka da odgovori na zahtjeve za ostvarivanje prava nosioca podataka iz Poglavlja II. ZZLP;

7.6. Obrađivač pomaže kontroloru podataka u osiguravanju usklađenosti s obavezama iz čl. 34. do 38. ZZLP, uzimajući u obzir prirodu obrade i informacije koje su dostupne obrađivaču;

7.7. Obrađivač  po izboru kontrolora podataka, briše ili vraća kontroloru podataka sve lične podatke nakon završetka pružanja usluga u vezi s obradom i briše postojeće kopije, osim u slučaju da je posebnim zakonom propisana obaveza čuvanja ličnih podataka;

7.8. Obrađivač kontroloru podataka stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštivanja obaveza ZZLP-a i kontroloru podataka ili drugom revizoru kojeg je ovlastio kontrolor podataka omogućava obavljanje revizije, uključujući i inspekcije, i pomaže u njihovom obavljanju;

7.9. u slučaju iz prethodnog stava ovog člana obrađivač odmah obavještava kontrolora podataka ako se, prema njegovom mišljenju, određenim uputstvom krši ZZLP, GDPR ili druga pravila o zaštiti podataka.

7.10. Obrađivač će, bez odlaganja, obavjestiti Kontrolora u slučaju povrede podataka o ličnosti, i pružiće Kontroloru sve neophodne informacije kako bi on (Kontrolor) mogao da ispuni zakonske obaveze.

7.11. Obrađivač ne odgovara za ispravnost unešenih podataka,  koje je kontrolor prikupio putem softvera.

7.12.Obrađivač ne odgovara za štetu koja je nastala nepravilnim rukovanjem i nepoštovanjem uputstava o radu sa softverom od strane kontrolora. 

7.13. Obrađivač ne odgovara za vjerodostojnost unešenih podataka, kao ni za nedostupnost podacima uzrokovanu nepridržavanjem uputstava  o arhiviranju podataka.

7.14. Obrađivač ne snosi odgovornost za gubitak, izmjenu ili brisanje podataka koji su pohranjeni na računarima Kontrolora, ako je takav gubitak nastao usljed tehničkih kvarova ili okolnosti izvan kontrole Obrađivača, uključujući greške operativnog sistema, nestanak električne energije, električne udare, fizička oštećenja uređaja ili nestručno korištenje opreme od strane Kontrolora ili njegovih zaposlenih.

7.15. Obrađivač ne snosi odgovornost za gubitak ili oštećenje poslovnih podataka koji nastanu usljed unošenja zlonamjernih programa (virusa, trojanaca, spyware-a i sl.) u računarske sisteme Kontrolora, ukoliko su takvi programi uvedeni radnjom ili propustom Kontrolora, njegovih zaposlenih ili trećih lica koja djeluju pod njegovom kontrolom.

7.16. Obrađivač je, međutim, dužan primjenjivati razumne tehničke i organizacione mjere zaštite u skladu sa standardima informacione bezbjednosti kako bi se rizik od gubitka ili neovlašćenog pristupa podacima sveo na najmanju moguću mjeru.

7.17. Lične podatke nad kojima obrađivač ima uvid prilikom održavanja aplikacije, dužan je čuvati kao poslovnu tajnu.

Član 8.

Rokovi čuvanja

8.1. Rokovi čuvanja ličnih podataka određuju se u skladu s propisima o platnim uslugama, sprečavanju pranja novca i finansiranja terorizma, te internim politikama Kontrolora.

8.2. Po isteku rokova čuvanja, lični podaci se brišu ili anonimizuju, a Obrađivač je dužan o tome dostaviti pisanu potvrdu Kontroloru.

Član 9.

Trajanje obrade

9.1. Obrada ličnih podataka od strane Obrađivača traje za vrijeme korištenja aplikacije MojaFirma, odnosno sve dok postoji aktivan korisnički nalog Kontrolora i dok Obrađivač pruža usluge koje podrazumijevaju obradu ličnih podataka u njegovo ime.

9.2. Smatra se da je ugovorni odnos između ugovornih strana uspostavljen prihvatanjem Uslova korištenja prilikom registracije korisničkog naloga na aplikaciji.

9.3. Po prestanku korištenja aplikacije ili brisanju korisničkog naloga, Obrađivač je dužan da, u skladu sa zahtjevom Kontrolora, bez odlaganja, a najkasnije u razumnom roku, izvrši brisanje ili povrat ličnih podataka koje obrađuje u njegovo ime, osim u mjeri u kojoj je njihovo čuvanje obavezno u skladu sa važećim propisima.

9.4. Ukoliko Kontrolor ne dostavi poseban zahtjev za povrat podataka, smatraće se da je dao instrukciju za njihovo brisanje.

Član 10.

Podizvođači (drugi obrađivači)

10.1.Obrađivač ne smije angažovati drugog obrađivača bez prethodnog posebnog ili opšteg pisanog odobrenja kontrolora podataka, koji se može dati i u elektronskoj formi.

10.2. U slučaju opšteg pisanog odobrenja, obrađivač obavještava kontrolora podataka o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih obrađivača kako bi time kontroloru podataka omogućio da uloži prigovor na te izmjene.

10.3. Ako obrađivač angažuje drugog obrađivača za obavljanje posebnih aktivnosti obrade u ime kontrolora podataka, iste obaveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između kontrolora podataka i obrađivača nameću se tom drugom obrađivaču ugovorom ili drugim pravnim aktom u skladu s posebnim zakonom, a posebno obaveza davanja dovoljno garancija za primjenu odgovarajućih tehničkih i organizacionih mjera na način kojim se osigurava da obrada zadovoljava zahtjeve iz ZZLP-a. 

10.4. Obrađivač ostaje u potpunosti odgovoran Kontroloru za postupanje podizvođača.

Član 11. 

Tehničke i organizacione mjere

11.1. Obrađivač se obavezuje obezbjediti sve tehničke i organizacione mjere kako bi postigli odgovarajući nivo sigurnosti i zaštite ličnih podataka, što prema potrebi podrazumijeva:

a) pseudonimizaciju i enkripciju ličnog podatka;

b) mogućnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sistema i usluga obrade;

c) sposobnost pravovremenog ponovnog uspostavljanja dostupnosti ličnog podatka i pristupa njemu u slučaju fizičkog ili tehničkog incidenta;

d) postupak redovnog testiranja, ocjenjivanja i procjene djelotvornosti tehničkih i organizacionih mjera za postizanje sigurnosti obrade;

11.2. U slučaju povrede ličnih podataka, Obrađivač će odmah, a najkasnije u roku od 24 sata, obavijestiti Kontrolora o prirodi povrede, mogućim posljedicama i mjerama preduzetim radi ublažavanja, a koja obavijest sadrži najmanje sljedeće:

a) opis prirode povrede ličnih podataka, i ako je moguće, s navedenim kategorijama i približnim brojem nosilaca podataka, kao i kategorijama i približnim brojem evidencija ličnih podataka;

b) opis moguće posljedice povrede ličnog podatka;

c) opis mjera koje je preduzeo ili čije je preduzimanje predložio radi rješavanja problema povrede ličnog podatka, uključujući prema potrebi i mjere za ublažavanje njenih mogućih štetnih posljedica.

d) podatke o kontakt osobi preko koje se mogu dobiti dodatne informacije o povredi ličnih podataka

11.3. Ukoliko, i u onoj mjeri u kojoj nije moguće sve navedene informacije dostaviti istovremeno, početno obavještenje sadržaće informacije koje su u tom trenutku raspoložive, a dodatne informacije će kako budu dostupne, biti naknadno dostavljene bez nepotrebnog odlaganja.

11.4. Obrađivač se obavezuje sarađivati sa Kontrolorom u vezi sa prijavom povrede Agenciji za zaštitu ličnih podataka BiH i obavještavanjem nosilaca podataka.

Član 12. 

Nadzor i usklađenost

12.1. Kontrolor ima pravo da u razumnim intervalima zahtijeva uvid u postupke obrade koje sprovodi Obrađivač, radi provjere usklađenosti sa ovim Ugovorom i važećim propisima o zaštiti ličnih podataka.

12.2. Obrađivač je dužan omogućiti pristup relevantnim informacijama i saradnju sa Kontrolorom, te bez odlaganja obavijestiti Kontrolora o svakoj kontroli ili nadzoru koji nad njim vrši Agencija za zaštitu ličnih podataka BiH u vezi s obradom podataka Kontrolora.

Član 13. 

Nepoštovanje obaveza i raskid 

13.1. Ukoliko Obrađivač prekrši svoje obaveze iz ovog Ugovora ili/i ZZLP ili/i GDPR-a, Kontrolor može naložiti Obrađivaču da obustavi obradu ličnih podataka sve dok se obrada ne uskladi sa istim ili dok se ugovor ne raskine.

13.2. Obrađivač je dužan da odmah obavijesti Kontrolora ukoliko, iz bilo kog razloga, nije u mogućnosti da postupa u skladu sa ovim Ugovorom.

13.3. Kontrolor ima pravo da raskine ovaj Ugovor ako: a) obrada ličnih podataka od strane Obrađivača ostane obustavljena od strane Kontrolora u skladu sa stavom 1 ovog člana, a usklađenost sa ovim Ugovorom, ZZLP ili GDPR ne bude ponovo uspostavljena u razumnom roku, a svakako najkasnije u roku od jednog mjeseca od dana obustave;

b)  Obrađivač je u značajnom ili trajnom kršenju ovog Ugovora ili svojih obaveza utvrđenih GDPR-om i ZZLP;

c) Obrađivač ne postupi po obavezujućoj odluci nadležnog suda ili nadležnog nadzornog organa koja se odnosi na njegove obaveze iz ovih odredbi ili iz ZZLP-a.

13.4.  Obrađivač ima pravo da raskine ugovor koji se odnosi na obradu ličnih podataka  ako, nakon što je obavijestio Kontrolora da njegova uputstva krše važeće zakonske zahtjeve, Kontrolor i dalje insistira na njihovom izvršenju.

Član 14.

Postupanje po raskidu

14.1. Po prestanku važenja ili raskidu ovog Ugovora, Obrađivač je dužan, prema dokumentovanom izboru Kontrolora:
(a) da obriše sve lične podatke obrađene u ime Kontrolora i dostavi pisanu potvrdu o brisanju; ili
(b) da vrati sve lične podatke Kontroloru i trajno obriše postojeće kopije, osim ako zakonska obaveza propisuje njihovo čuvanje.

14.2. Do brisanja ili vraćanja podataka, Obrađivač je dužan da nastavi primjenjivati sve tehničke, organizacione i bezbjednosne mjere propisane ovim Ugovorom i zakonom.

Član 15.

Završne odredbe

15.1. Ovaj Ugovor o obradi ličnih podataka (DPA) stupa na snagu u trenutku prihvatanja od strane Kontrolora putem aplikacije MojaFirma, odnosno prihvatanjem Uslova korištenja i kreiranjem korisničkog naloga, te važi za cijelo vrijeme korištenja aplikacije.

15.2. Sve informacije, podaci i dokumenti koji se razmjenjuju ili postanu dostupni između ugovornih strana u vezi sa ovim Ugovorom smatraju se povjerljivim i predstavljaju poslovnu tajnu, osim ako su javno dostupni ili je njihovo otkrivanje propisano zakonom.

15.3. Obaveza čuvanja povjerljivosti traje i nakon prestanka korištenja aplikacije, odnosno prestanka ovog Ugovora.

15.4. Kontrolor potvrđuje da je prije prihvatanja ovog Ugovora imao mogućnost da se upozna sa njegovim sadržajem, te da njegovim prihvatanjem izražava saglasnost sa svim pravima i obavezama koje iz njega proizilaze.

15.5. Na pitanja koja nisu uređena ovim Ugovorom primjenjuju se odredbe Zakona o zaštiti ličnih podataka Bosne i Hercegovine, kao i odredbe Zakona o obligacionim odnosima.

15.6. U slučaju spora u vezi sa ovim Ugovorom, ugovorne strane će nastojati da spor riješe mirnim putem, a ukoliko to nije moguće, za rješavanje spora nadležan je stvarno nadležni sud u Banjoj Luci.

15.7. Ovaj Ugovor se zaključuje u elektronskoj formi i ne zahtijeva fizičko potpisivanje, te je dostupan korisnicima putem web stranice.