Ugovor o obradi podataka (DPA)

Između rukovaoca i obrađivača

Verzija 2.0 — primenjuje se od 2026-06-01

Preambula

Ovaj Ugovor o obradi podataka („DPA" ili „Ugovor") sačinjen je između:

RUKOVALAC PODATAKA: Korisnik PikApp platforme — u daljem tekstu „Rukovalac" ili „Vaš biznis".

OBRAĐIVAČ PODATAKA: PikApp NEXT_PUBLIC_LEGAL_FORM Sedište: Vojvode Misica 22A, Kraljevo, Republika Srbija PIB: 111620155 Matični broj: 65544601 u daljem tekstu „PikApp" ili „Obrađivač".

1. Predmet i kontekst

1.1. Pozadina

Strane su zaključile Uslove korišćenja PikApp platforme („Glavni ugovor"), kojim PikApp pruža Rukovaocu SaaS platformu za vođenje online prodavnice.

PikApp je isključivo tehnološka platforma (vidi tačku 2. Glavnog ugovora). Rukovalac koristi PikApp kao alat za vođenje sopstvenog poslovanja, uključujući obradu podataka svojih krajnjih kupaca.

1.2. Svrha ovog DPA

Ovaj DPA dopunjuje Glavni ugovor i definiše uslove obrade ličnih podataka u skladu sa:

• Članom 45. Zakona o zaštiti podataka o ličnosti Republike Srbije („ZZPL");
• Članom 28. Opšte uredbe o zaštiti podataka (EU 2016/679, „GDPR") u meri u kojoj se primenjuje.

1.3. Hijerarhija

U slučaju nesaglasnosti, u pitanjima zaštite ličnih podataka prevladava ovaj DPA.

1.4. Prihvatanje

DPA se smatra prihvaćenim prihvatanjem Uslova korišćenja prilikom registracije ili korišćenjem PikApp platforme za primanje porudžbina.

2. Definicije

• „Lični podaci" — sve informacije koje se odnose na fizičko lice u smislu čl. 4. ZZPL.
• „Subjekti podataka" — krajnji kupci Rukovaoca koji koriste prodavnicu Rukovaoca na PikApp platformi.
• „Obrada" — svaka radnja sa ličnim podacima.
• „Povreda ličnih podataka" — narušavanje bezbednosti.
• „Sub-procesor" — treća strana koju PikApp angažuje za obradu u ime Rukovaoca.

3. Uloge i odgovornosti — KRITIČNO

3.1. Rukovalac (Korisnik PikApp-a) — ISKLJUČIVO odgovoran

Rukovalac je rukovalac podataka u smislu ZZPL i GDPR.

Rukovalac bezuslovno potvrđuje i izjavljuje da je isključivo odgovoran za:

• Određivanje svrha i sredstava obrade podataka svojih krajnjih kupaca;
• Pribavljanje odgovarajućeg pravnog osnova za obradu (saglasnost, ugovor, legitimni interes, itd.);
• Pružanje informacija subjektima podataka u skladu sa čl. 23. ZZPL — Rukovalac mora imati i objaviti sopstvenu politiku privatnosti na svojoj prodavnici;
• Odgovaranje na zahteve subjekata podataka (pristup, ispravka, brisanje, prenosivost, prigovor) — PikApp pruža tehničke alate, ali pravna odgovornost ostaje na Rukovaocu;
• Prijavljivanje povreda podataka Povereniku — Rukovalac je primarni nosilac obaveze prijave; PikApp ga obaveštava o povredama i pomaže (vidi tačku 7);
• Vođenje evidencije aktivnosti obrade (kada je to obavezno po čl. 47. ZZPL);
• Sprovođenje procene uticaja obrade (DPIA) kada je primenljivo;
• Imenovanje DPO-a kada je obavezno po čl. 56. ZZPL;
• Pribavljanje pristanka maloletnika za obradu (kada se njihovi podaci obrađuju);
• Obezbeđivanje da su instrukcije date PikApp-u u skladu sa propisima;
• Sve obaveze koje propisuje ZZPL, GDPR i pratećih propisa u odnosu na svoje kupce.

3.2. Obrađivač (PikApp) — ograničena tehnička odgovornost

PikApp je obrađivač podataka koji obrađuje podatke isključivo prema dokumentovanim instrukcijama Rukovaoca kao što su sadržane u Glavnom ugovoru, ovom DPA i kroz konfiguraciju platforme.

PikApp:

• NE određuje svrhe ili sredstva obrade podataka krajnjih kupaca;
• NE komunicira direktno sa krajnjim kupcima izvan tehničkih obaveštenja koja Rukovalac konfiguriše;
• NE obrađuje podatke za sopstvene komercijalne svrhe (osim agregiranih, anonimizovanih statistika);
• NIJE odgovoran za pravni osnov koji je Rukovalac izabrao;
• NIJE odgovoran za zakonitost upita Rukovaoca prema krajnjim kupcima;
• NIJE odgovoran za sadržaj politike privatnosti Rukovaoca prema kupcima.

3.3. Garancije Rukovaoca

Korišćenjem PikApp platforme za primanje porudžbina, Rukovalac izričito garantuje da:

a) Poseduje važeći pravni osnov za obradu podataka svake kategorije svojih kupaca; b) Pribavlja sve potrebne saglasnosti od svojih kupaca pre nego što njihove podatke unese u platformu; c) Pruža kupcima sopstvenu politiku privatnosti u skladu sa ZZPL/GDPR; d) Obrazlaže kupcima ulogu PikApp-a kao obrađivača (transparentnost lanca obrade); e) Ne prenosi PikApp-u podatke koje Rukovalac nema pravo da obrađuje; f) Ne obrađuje posebne kategorije podataka (zdravlje, etničko poreklo, političko mišljenje, biometrija, itd.) putem PikApp platforme bez prethodne pisane saglasnosti PikApp-a i odgovarajućeg pravnog osnova; g) Snosi punu odgovornost prema svojim kupcima za sve aspekte obrade.

3.4. Posledice za PikApp ako Rukovalac krši svoje obaveze

Ukoliko subjekat podataka, Poverenik ili drugi nadležni organ pokrene postupak ili podnese zahtev protiv PikApp-a zbog obrade koja je posledica propusta Rukovaoca (npr. nedostatak pravnog osnova, nedostatak politike privatnosti, neispunjavanje obaveza Rukovaoca):

• Rukovalac će u potpunosti obeštetiti PikApp za sve troškove, kazne, štete i izdatke;
• Rukovalac će preuzeti odbranu ili snositi troškove odbrane PikApp-a;
• PikApp može suspendovati ili raskinuti Glavni ugovor.

Ovo je u skladu sa klauzulom o oslobađanju odgovornosti iz Glavnog ugovora (tačka 6.).

4. Predmet i detalji obrade

4.1. Predmet obrade

PikApp obrađuje lične podatke krajnjih kupaca Rukovaoca isključivo u svrhu pružanja funkcionalnosti PikApp platforme Rukovaocu.

4.2. Trajanje obrade

Obrada traje koliko i Glavni ugovor, uz produžetak za period čuvanja propisan zakonima (npr. fakture) i razuman period za eksport/brisanje podataka nakon raskida.

4.3. Priroda i svrha obrade

Obrada uključuje:

• Hostovanje i prikazivanje storefront-a Rukovaoca;
• Primanje porudžbina od kupaca;
• Generisanje računa, izveštaja i analitike;
• Slanje transakcionih obaveštenja kupcima (konfigurišu Rukovalac);
• Komunikaciju između Rukovaoca i kupaca putem platforme;
• Tehničku podršku Rukovaocu.

4.4. Tipovi ličnih podataka

PikApp NE obrađuje brojeve platnih kartica — to čini registrovani provajder plaćanja.

4.5. Kategorije subjekata

• Krajnji kupci Rukovaoca (fizička lica);
• Posetioci storefront-a (anonimizovano);
• Korisnici koji ostavljaju recenzije.

4.6. Posebne kategorije podataka

PikApp ne obrađuje posebne kategorije ličnih podataka iz čl. 17. ZZPL. Rukovalac se obavezuje da takve podatke ne unosi u platformu.

5. Obaveze PikApp-a kao obrađivača

5.1. Obrada prema instrukcijama

PikApp obrađuje lične podatke isključivo:

• Prema dokumentovanim instrukcijama Rukovaoca (Glavni ugovor, ovaj DPA, konfiguracija platforme);
• Kada je obrada propisana pravom Republike Srbije ili EU (uz prethodno obaveštenje Rukovaocu, osim ako zakon to zabranjuje).

PikApp odmah obaveštava Rukovaoca ako smatra da neka instrukcija krši propise — ali nije obavezan da pravno proverava sve instrukcije, niti snosi odgovornost ako Rukovalac da nezakonitu instrukciju.

5.2. Poverljivost

PikApp obezbeđuje da su sva lica ovlašćena za obradu obavezna na poverljivost.

5.3. Bezbednosne mere

PikApp implementira odgovarajuće tehničke i organizacione mere:

Tehničke mere:

• Šifrovanje u prenosu (TLS 1.2+);
• Šifrovanje u mirovanju (baze podataka, backup-ovi);
• Pristupna kontrola (princip najmanje privilegije, RBAC);
• Bezbedni hash lozinki (bcrypt);
• Monitoring i alerting;
• Redovni backup-ovi sa geografskom redundancom;
• Skeniranje ranjivosti zavisnosti.

Organizacione mere:

• Plan reagovanja na incidente;
• Obuke zaposlenih;
• NDA sa svim zaposlenima i podizvođačima;
• Periodični pregledi bezbednosti.

5.4. Pomoć Rukovaocu

PikApp pomaže Rukovaocu odgovarajućim tehničkim merama:

• Funkcionalnost eksporta podataka iz administratorskog panela;
• Funkcionalnost brisanja podataka kupaca na zahtev;
• Backup i restore procedure;
• Tehničku podršku za pitanja zaštite podataka.

PikApp ne pruža pravne savete Rukovaocu — Rukovalac mora pribaviti sopstveni pravni savet.

5.5. Brisanje ili vraćanje podataka

Po prestanku Glavnog ugovora, prema izboru Rukovaoca:

• Vraćanje svih ličnih podataka Rukovaocu u standardnom formatu (JSON, CSV);
• Trajno brisanje iz svih sistema.

Rok: 30 dana od raskida.

Izuzeci: podaci čije čuvanje propisuju zakoni (računovodstvo — 10 godina) — čuvaju se izolovano i ne koriste se za druge svrhe.

5.6. Saradnja sa nadležnim organima

PikApp može i hoće sarađivati sa nadležnim organima u skladu sa zakonom. To uključuje dostavljanje podataka po nalogu organa. Rukovalac time ne stiče pravo na obaveštavanje ako bi to ugrozilo istragu.

6. Sub-procesori

6.1. Generalna saglasnost

Rukovalac daje opštu saglasnost da PikApp može angažovati sub-procesore.

6.2. Aktuelna lista

Glavni sub-procesori:

Aktuelna lista: PIKAPP_WEBSITE/legal/sub-procesori

6.3. Garancije sub-procesora

PikApp sa svakim sub-procesorom zaključuje ugovor koji nameće obaveze najmanje jednake obavezama iz ovog DPA.

6.4. Izmene liste

Obaveštavanje Rukovaoca najmanje 30 dana pre nego što novi sub-procesor počne sa radom.

6.5. Pravo prigovora

Rukovalac ima pravo prigovora u roku od 14 dana. U slučaju opravdanog prigovora bez rešenja — Rukovalac može raskinuti Glavni ugovor.

6.6. Odgovornost za sub-procesore

PikApp ostaje odgovoran Rukovaocu za ispunjavanje obaveza sub-procesora.

7. Povreda ličnih podataka

7.1. Obaveštavanje Rukovaoca

PikApp obaveštava Rukovaoca o povredi bez nepotrebnog odlaganja, a najkasnije u roku od 24 sata od saznanja.

Obaveštenje sadrži:

• Opis prirode povrede;
• Verovatne posledice;
• Mere preduzete za otklanjanje;
• Kontakt osobu za dodatne informacije.

7.2. Saradnja

PikApp pruža Rukovaocu razumnu saradnju u istraživanju, prijavi Povereniku i komunikaciji sa pogođenim subjektima.

7.3. Obaveza Rukovaoca

Rukovalac je primarno odgovoran za prijavljivanje povrede Povereniku (u roku od 72 sata po čl. 53. ZZPL) i obaveštavanje subjekata podataka kada je to potrebno.

PikApp pomaže, ali ne zamenjuje Rukovaoca u ovoj obavezi.

7.4. Mere PikApp-a

PikApp odmah preduzima mere da obustavi povredu, obnovi sigurnost sistema, vodi internu evidenciju i sprovodi reviziju.

8. Međunarodni prenosi

Neki sub-procesori obavljaju obradu izvan EU/EEA. PikApp primenjuje:

• Standardne ugovorne klauzule odobrene od Evropske komisije; ili
• Adekvatnost nivoa zaštite (kada postoji odluka); ili
• Druge propisane garancije (čl. 65-71. ZZPL).

Dodatne mere: šifrovanje, pseudonimizacija, ograničavanje obima podataka.

9. Odgovornost

9.1. Odgovornost prema subjektima

Svaka Strana odgovara srazmerno svojoj ulozi.

9.2. Međusobna odgovornost

Ako jedna Strana plati punu odštetu, ima pravo regresa od druge srazmerno odgovornosti.

9.3. Ograničenja

Ograničenja iz Glavnog ugovora (tačka 14.) primenjuju se i na ovaj DPA, osim u meri u kojoj zakon to zabranjuje.

9.4. Indemnifikacija Rukovaoca

Rukovalac u potpunosti obeštećuje PikApp za sve troškove, kazne, štete i izdatke koji proističu iz:

• Nedostatka pravnog osnova Rukovaoca za obradu;
• Propusta Rukovaoca u pružanju informacija svojim kupcima;
• Propusta u odgovaranju na zahteve subjekata podataka;
• Bilo kojeg drugog kršenja obaveza Rukovaoca prema ZZPL/GDPR.

10. Demonstracija usklađenosti i audit

PikApp na razuman zahtev:

• Dostavlja informacije neophodne za dokazivanje usklađenosti;
• Omogućava razumne provere (audit) — jednom godišnje ili nakon povrede, uz najavu od 30 dana i o trošku Rukovaoca.

Audit ne sme ugrožavati poverljivost drugih Korisnika.

11. Trajanje, izmene i raskid

11.1. Trajanje

Traje koliko i Glavni ugovor + razuman period za eksport/brisanje.

11.2. Izmene

Bitne izmene najavljuju se 30 dana unapred.

11.3. Preživljavanje

Obaveze poverljivosti, bezbednosti i pomoći u vezi sa povredama traju i nakon raskida.

12. Završne odredbe

12.1. Primenljivo pravo

Pravo Republike Srbije.

12.2. Nadležnost

Stvarno nadležni sud u Kraljevo.

12.3. Forma

DPA u digitalnom obliku. Dostupan za preuzimanje u PDF formatu na PIKAPP_WEBSITE/legal/dpa.pdf.

Kontakt

• Email za zaštitu podataka: NEXT_PUBLIC_LEGAL_PRIVACY_EMAIL
• Adresa: PikApp, Vojvode Misica 22A, Kraljevo
• Telefon: 0641231234

DPA u skladu sa ZZPL RS i čl. 28. GDPR-a.