Posljednje ažurirano: 12. maj 2026.

Ugovor o obradi podataka

Ovaj Ugovor o obradi podataka ("UOP") čini sastavni dio Inviaro Uslova korištenja između Inviaro-a (kako je identifikovan u korisnikovoj dokumentaciji o narudžbi; "Inviaro", "mi" ili "Obrađivač") i korisnika identifikovanog identitetom za naplatu Inviaro radnog prostora ("Korisnik" ili "Kontrolor").

UOP reflektuje obaveze strana po EU Uredbi o opštoj zaštiti podataka 2016/679 ("GDPR") i drugim primjenjivim zakonima o zaštiti podataka.

1. Definicije

Pojmovi sa velikim slovom imaju značenje dato u GDPR-u osim ako su ovdje drugačije definisani. "Lični podaci" su podaci koji se odnose na identifikovana ili identifikabilna fizička lica koje Korisnik unosi ili obrađuje kroz Servis. "Pod-obrađivač" je treća strana koju Inviaro angažuje za obradu Ličnih podataka u ime Korisnika.

2. Obim i svrha obrade

Inviaro obrađuje Lične podatke u ime Korisnika isključivo u svrhu pružanja Servisa: rutiranja, pohranjivanja i rada s razgovorima preko poruka, kontaktima, kalendarskim događajima i povezanim zapisima koje Korisnik unosi kroz povezane kanale. Period obrade je trajanje ugovora o Servisu plus bilo koji period čuvanja koji zahtijeva zakon.

3. Kategorije lica i ličnih podataka

Servis tipično obrađuje Lične podatke koji se odnose na:

  • Korisnikove ovlaštene korisnike (operatere unutar radnog prostora)
  • Korisnikove krajnje korisnike (osobe koje komuniciraju s Korisnikom kroz kanale povezane s Inviaro-om)

Kategorije Ličnih podataka uključuju:

  • Identifikatore kontakata (imena, brojevi telefona, e-mail adrese, identifikatori na kanalima)
  • Sadržaj poruka (tekst, prilozi, linkovi, strukturirana polja)
  • Detalje rezervacija i kalendarskih događaja
  • Bihevioralne metapodatke koje generiše korištenje Servisa (vremenske oznake, kanal, status razgovora)
  • Kada Korisnik radi u reguliranoj djelatnosti, Korisnik može primati Posebne kategorije podataka (GDPR član 9) kroz svoje kanale — vidjeti odjeljak 11

4. Uloge

Korisnik je Kontrolor Ličnih podataka koje unosi u Servis, uključujući razgovore krajnjih korisnika koje prima. Inviaro je Obrađivač tih podataka. Inviaro je zasebni Kontrolor za podatke o nalogu, naplati, reviziji i sigurnosti koji se odnose na Korisnikove ovlaštene korisnike (vidjeti našu Politiku privatnosti za tu obradu).

5. Pod-obrađivači

Inviaro angažuje mali broj pod-obrađivača za rad Servisa. Kategorije su sažete na /ba/subprocessors. Aktuelna, imenovana lista pod-obrađivača — uključujući pravno lice svakog dobavljača, region obrade i primjenjivi zaštitni mehanizam — dostavlja se Korisniku kao Prilog A i ažurira se na Korisnikovom kontrolnom panelu naloga. Korisnik odobrava Inviaro-vu upotrebu tih pod-obrađivača prihvatanjem ovog UOP-a.

Inviaro će obavijestiti Korisnika najmanje 30 dana unaprijed o bilo kakvom dodavanju ili zamjeni pod-obrađivača koji bitno utiče na obradu Ličnih podataka. Obavještenje se šalje e-mailom vlasniku radnog prostora i preko in-app banera. Korisnik može uložiti prigovor u roku od 30 dana slanjem e-maila na [email protected]. Ako se strane ne mogu dogovoriti o rješenju, Korisnik može prekinuti Servis uz pro-rata povrat unaprijed plaćenih iznosa za period nakon prigovora.

6. Međunarodni prijenosi

Neki pod-obrađivači su locirani izvan Evropskog ekonomskog prostora (posebno US-bazirani AI dobavljači kada su AI funkcionalnosti aktivne). Za ove prijenose strane uključuju EU Standardne ugovorne klauzule 2021/914 referencom, u modulima primjenjivim na svaki lanac prijenosa (Modul 2 Kontrolor ka Obrađivaču, Modul 3 Obrađivač ka Obrađivaču). Inviaro primjenjuje dopunske mjere uključujući enkripciju u prijenosu, enkripciju u mirovanju, i kontrole pristupa kako je dokumentovano u ovom UOP-u i na našoj listi pod-obrađivača.

7. Obaveze Inviaro-a

  • Obrađivati Lične podatke samo prema dokumentovanim uputama Korisnika (korištenje Servisa predstavlja te upute)
  • Osigurati da osobe ovlaštene za obradu Ličnih podataka budu vezane povjerljivošću
  • Implementirati odgovarajuće tehničke i organizacione mjere (Odjeljak 9)
  • Pomoći Korisniku sa Zahtjevima ispitanika kroz API endpointe opisane u Odjeljku 10
  • Obavijestiti Korisnika o bilo kakvoj Povredi ličnih podataka bez nepotrebnog odlaganja i u svakom slučaju u roku od 72 sata od saznanja (Odjeljak 12)
  • Učiniti dostupnim sve informacije potrebne za demonstraciju usklađenosti i omogućiti revizije kako je opisano u Odjeljku 13
  • Po izboru Korisnika, obrisati ili vratiti sve Lične podatke nakon završetka pružanja usluga (Odjeljak 14)

8. Obaveze Korisnika

  • Imati zakonski osnov po GDPR članu 6 (i članu 9 gdje je primjenjivo) za Lične podatke koje unosi u Servis
  • Informisati svoje krajnje korisnike o obradi kako je potrebno
  • Osigurati da se povezani kanali koriste u skladu s uvjetima pružatelja kanala (npr. Meta Commerce Policies, Google API Services User Data Policy)
  • Konfigurisati funkcionalnosti čuvanja i brisanja u Servisu u skladu sa svojim obavezama čuvanja
  • Ispuniti Zahtjeve ispitanika koje primi direktno, uz pomoć Inviaro-a kada se zatraži

9. Sigurnosne mjere

Inviaro implementira odgovarajuće tehničke i organizacione mjere uključujući:

  • Enkripciju u prijenosu (TLS 1.2 ili veći)
  • Enkripciju u mirovanju za bazu podataka aplikacije, objektnu pohranu i pohranjene kredencijale
  • Salt-ovane jednosmjerne hash-eve lozinki; lozinke se nikada ne čuvaju u plain tekstu
  • Dvofaktorsku autentikaciju obaveznu za osoblje s administrativnim pristupom; pristup ograničen na malu grupu i revidiran
  • Potpisane session cookie-je i zaštitu od cross-site request forgery
  • Izolaciju podataka radnog prostora primijenjenu na aplikacijskom sloju
  • Audit logging administrativnih akcija, mutacija radnog prostora, AI inferencije i integracijskih poziva
  • Dnevne automatske backup-e na rotacionoj 30-dnevnoj osnovi sa testiranim procedurama vraćanja
  • Prakse sigurnog kodiranja, automatski code review i skeniranje zavisnosti u razvojnom pipeline-u

10. Pomoć kod Zahtjeva ispitanika

Inviaro pruža API endpointe u Korisnikovom radnom prostoru koji omogućuju Korisniku da ispuni Zahtjeve ispitanika primljene od svojih krajnjih korisnika:

  • Pristup / prenosivost: izvoz podataka po radnom prostoru, vraća strukturiranu arhivu svih razgovora, kontakata i rezervacija
  • Brisanje: endpoint za brisanje po kontaktu koji kaskadira na sve poruke, priloge, kalendarske rezervacije i widget identitete koji pripadaju kontaktu, uz redakciju koja čuva reviziju
  • Ispravka: standardni endpointi za uređivanje kontakta i razgovora u operaterskom UI-ju
  • Ograničenje: označavanje na nivou razgovora koje pauzira automatsku obradu

Inviaro će pomoći s upitima regulatora i složenim zahtjevima na osnovu razumnog truda bez dodatne naknade za naše standardne planove.

11. Posebne kategorije podataka (GDPR član 9)

Korisnik potvrđuje da, zavisno od djelatnosti Korisnika (medicinska, stomatološka, estetska, veterinarska, wellness ili bilo koja druga djelatnost povezana sa članom 9), poruke krajnjih korisnika mogu sadržavati zdravstvene informacije, biometrijske podatke ili druge Posebne kategorije podataka.

Korisnik izjavljuje i garantuje da ima odgovarajući zakonski osnov po članu 9 za obradu takvih podataka (tipično član 9(2)(a) eksplicitna saglasnost ispitanika, ili 9(2)(h) pružanje zdravstvene ili socijalne zaštite). Inviaro obrađuje Posebne kategorije podataka strogo kao Obrađivač u ime Korisnika i ne preuzima samostalno odgovornost Kontrolora po članu 9.

Pri postavljanju radnog prostora ili pri označavanju djelatnosti, ovlašteni predstavnik Korisnika potvrđuje ovu izjavu o članu 9 u operaterskom UI-ju. Ova potvrda se evidentira u našem registru saglasnosti s vremenskom oznakom, IP adresom i user agentom.

12. Obavještenje o Povredi ličnih podataka

Inviaro će obavijestiti Korisnika bez nepotrebnog odlaganja, i u svakom slučaju u roku od 72 sata od saznanja, o bilo kakvoj Povredi ličnih podataka koja utiče na Lične podatke Korisnika. Obavještenje će uključivati prirodu povrede, kategorije i približan broj pogođenih ispitanika, vjerovatne posljedice i mjere preduzete ili predložene za ublažavanje.

Korisnik je odgovoran za obavještavanje svojih ispitanika i nadležnog nadzornog organa gdje je potrebno, a Inviaro će pomoći Korisniku s informacijama razumno potrebnim za tu svrhu. Inviaro održava dokumentovan interni runbook za odgovor na povrede.

13. Revizije

Inviaro čini dostupnim Korisniku informacije potrebne za demonstraciju usklađenosti s ovim UOP-om. Po razumnom pisanom zahtjevu — ne više od jednom u kalendarskoj godini, osim kada se dogodila Povreda ličnih podataka — i uz najavu od najmanje 30 dana, Inviaro će odgovoriti na dokumentovani revizijski upitnik. Kada Korisnik ima regulatornu obavezu da obavi reviziju na licu mjesta ili kroz treću stranu, strane će se pisanim putem dogovoriti o obimu, troškovima i povjerljivosti.

Inviaro zadržava pravo da zadovolji revizijske obaveze pružanjem certifikacionih izvještaja treće strane (kada budu dostupni) ili učestvovanjem u industrijski standardnim okvirima procjene.

14. Vraćanje ili brisanje podataka

Po prekidu Servisa, Korisnik može izvesti sve podatke kroz endpoint za izvoz po radnom prostoru do 30 dana nakon datuma zatvaranja. Nakon 30 dana, Inviaro briše Lične podatke Korisnika iz aktivnih sistema, uz sljedeće:

  • Enkriptovani backup-i nastavljaju da postoje na rotacionom 30-dnevnom ciklusu i zatim se automatski brišu
  • Zapisi o fakturama i povezani podaci o naplati se čuvaju u periodu zahtjevanom primjenjivim računovodstvenim i poreznim zakonom
  • Audit i sigurnosni zapisi mogu se čuvati do 24 mjeseca za odbranu od prevare i zloupotrebe

15. Upute Korisnika

Korištenje Servisa od strane Korisnika kroz konfigurisane funkcionalnosti predstavlja dokumentovane upute Korisnika ka Inviaro-u. Dodatne upute se mogu komunicirati na [email protected]. Ako Inviaro smatra da uputa krši GDPR ili drugi primjenjivi zakon, Inviaro će obavijestiti Korisnika i može obustaviti izvršenje dok se ne razjasni.

16. Odgovornost i ograničenja

Odgovornost svake strane po ovom UOP-u podliježe ograničenjima odgovornosti navedenim u Uslovima korištenja. Odgovornost svake strane po ovom UOP-u ograničena je u mjeri dopuštenoj primjenjivim zakonom.

17. Trajanje i prekid

Ovaj UOP stupa na snagu od datuma kada Korisnik prihvati pri pretplati (ili potpisu) i traje za trajanje Servisa. Odjeljci koji se odnose na čuvanje, saradnju u reviziji i obavještenje o povredi opstaju nakon prekida kako to zahtijeva zakon.

18. Mjerodavno pravo

Ovaj UOP je uređen zakonima jurisdikcije navedene u Inviaro Uslovima korištenja, s tim da obavezne odredbe EU GDPR-a prevladavaju gdje su primjenjive. Ništa u ovom UOP-u ne ograničava pravo bilo kojeg ispitanika da podnese pritužbu svojoj lokalnoj nadzornoj agenciji.

Pitanja ili zahtjevi za kontra-potpisani primjerak: [email protected].