Ugovor o obradi podataka

1. Predmet i trajanje

Kolega obrađuje osobne podatke radi pružanja Usluge opisane u Uvjetima — upravljanja AI agentom na web stranici Korisnika, uvoza sadržaja Korisnika te pohrane i pregleda nastalih razgovora. Obrada traje za vrijeme trajanja pretplate Korisnika i rok za brisanje naveden u §9.

2. Priroda i svrha obrade

Svrha je rad Usluge u ime Korisnika: odgovaranje na pitanja posjetitelja utemeljeno na katalogu i politikama Korisnika, eskalacija prema timu Korisnika kada agent nije siguran te izrada agregiranih izvješća o kvaliteti i uvidima za Korisnika. Kolega ne koristi razgovore posjetitelja za treniranje AI modela opće namjene.

3. Kategorije ispitanika

• Posjetitelji web stranice Korisnika koji komuniciraju s agentom.
• Pojedinci čije kontaktne podatke posjetitelj odluči podijeliti tijekom eskalacije ili zahtjeva za termin.

4. Kategorije osobnih podataka

• Sadržaj razgovora — poruke koje posjetitelj šalje agentu i agentovi odgovori, te naslov razgovora i identifikator sesije.
• Podaci o eskalaciji i terminu — pitanje posjetitelja, ime, e-pošta ili telefonski broj kada ih posjetitelj navede, te slobodno upisane bilješke.
• Događaji interakcije s widgetom — identifikator sesije, URL stranice, izvor (referrer) i metapodaci događaja. Kolega u ovim podacima ne prikuplja niti pohranjuje IP adrese posjetitelja.

Usluga nije osmišljena za obradu posebnih kategorija podataka (članak 9.). Korisnik ne smije konfigurirati agenta da ih traži.

5. Obveze Izvršitelja obrade

Kolega će:

• Obrađivati osobne podatke samo prema dokumentiranim uputama Korisnika, uključujući konfiguraciju koju Korisnik postavi na nadzornoj ploči, osim ako je dužna postupati prema pravu EU-a ili države članice (u kojem slučaju će obavijestiti Korisnika kada to pravo dopušta).
• Osigurati da su osobe ovlaštene za obradu podataka obvezane obvezom povjerljivosti.
• Provoditi tehničke i organizacijske mjere navedene u §10 (članak 32.).
• Pomagati Korisniku, uzimajući u obzir prirodu obrade, u odgovaranju na zahtjeve za ostvarivanje prava ispitanika (§7) i u ispunjavanju njegovih obveza prema člancima 32. do 36.
• Staviti na raspolaganje informacije potrebne za dokazivanje usklađenosti s člankom 28. te omogućiti i doprinijeti revizijama kako je navedeno u §8.

6. Podobrada (podizvođenje obrade)

Korisnik daje opću suglasnost da Kolega angažira podizvođače obrade navedene na kolega.hr/subprocessors. Kolega svakom podizvođaču obrade nameće obveze zaštite podataka koje nisu manje zaštitne od onih u ovom Ugovoru i ostaje odgovorna za rad podizvođača obrade. Kolega obavještava Korisnika o svakom namjeravanom dodavanju ili zamjeni podizvođača obrade najmanje četrnaest dana unaprijed putem nadzorne ploče, tijekom čega Korisnik može uložiti prigovor na razumnim osnovama zaštite podataka; ako se prigovor ne može razriješiti, Korisnik može raskinuti zahvaćeni dio Usluge.

7. Prava ispitanika

Kolega u Usluzi pruža alate koji pomažu Korisniku izravno ispuniti zahtjeve za prava posjetitelja: vlasnik ili administrator radnog prostora može izvesti osobne podatke posjetitelja i može ih izbrisati. Brisanje redigira riječi i kontaktne podatke posjetitelja u zapisu razgovora oznakom redakcije te briše zapise koji se ne mogu smisleno anonimizirati — zahtjeve za termin i događaje interakcije s widgetom — uz očuvanje agregata bez osobnih podataka na koje se Korisnik oslanja za izvješćivanje. Kada Korisnik treba pomoć izvan ovih samoposlužnih alata, Kolega će na zahtjev pružiti razumnu podršku.

8. Revizija

Kolega na pisani zahtjev Korisnika, najviše jednom godišnje (ili nakon povrede osobnih podataka koja utječe na Korisnika), stavlja na raspolaganje informacije razumno potrebne za dokazivanje usklađenosti s ovim Ugovorom, uključujući relevantnu sigurnosnu dokumentaciju. Kada Korisnik razumno zahtijeva reviziju na licu mjesta, strane unaprijed dogovaraju opseg i vrijeme kako se ne bi narušila Usluga ili drugi korisnici.

9. Povrat i brisanje

Na zahtjev Kolega izvozi podatke radnog prostora Korisnika u strojno čitljivom formatu u roku od trideset dana. Po raskidu Usluge Kolega briše ili anonimizira osobne podatke iz produkcijskih sustava u roku od devedeset dana, uz poštivanje svake zakonske obveze čuvanja. Neovisno o raskidu, Kolega provodi raspoređeni postupak čuvanja koji anonimizira neobrađene osobne podatke iz razgovora starije od razdoblja koje Korisnik konfigurira (zadano dvanaest mjeseci), uz očuvanje samo agregata bez osobnih podataka.

10. Sigurnosne mjere (članak 32.)

Kolega održava tehničke i organizacijske mjere primjerene riziku, uključujući:

• Kriptiranje osobnih podataka u prijenosu (TLS).
• Izolaciju zakupaca na razini aplikacije: svaki zapis u vlasništvu korisnika vezan je uz radni prostor, a upiti su ograničeni na autenticirani radni prostor.
• Autentikaciju potpisanim, HttpOnly tokenima sesije; lozinke pohranjene samo kao bcrypt hashevi; pristup produkcijskim sustavima po načelu najmanjih ovlasti.
• API ključeve widgeta vezane uz dopuštena izvorišta (origin) Korisnika, tako da se procureli ključ ne može koristiti s druge stranice.
• Revizijske zapise administrativnih radnji, redovito ažuriranje ovisnosti i odvajanje produkcijskih od razvojnih okruženja.

11. Povreda osobnih podataka

Kolega obavještava Korisnika bez nepotrebnog odgađanja nakon što sazna za povredu osobnih podataka koja utječe na podatke Korisnika te pruža informacije koje su Korisniku potrebne za ispunjavanje vlastitih obveza obavještavanja prema člancima 33. i 34.

12. Međunarodni prijenosi

Kada podizvođač obrade obrađuje osobne podatke izvan Europskog gospodarskog prostora, prijenos se oslanja na Standardne ugovorne klauzule Europske komisije ili drugi valjani mehanizam prijenosa, kako je navedeno za svakog podizvođača obrade na kolega.hr/subprocessors.

13. Kontakt

Za zahtjev za supotpisani primjerak ovog Ugovora, pokretanje pitanja vezanog uz ispitanika ili postavljanje pitanja o zaštiti podataka, kontaktirajte pozdrav@kolega.hr.