Data Processing Agreement
Last Updated February 2026
Bitreport d.o.o. – Data Processing Agreement (Public Reference)
Bitreport d.o.o. (“Bitreport”, “we”, “us”) provides an operations management platform (“Bitreport”) for retail and hospitality businesses, including digitizing audits, task management, incident reporting, and operational workflows. We process personal data on behalf of our customers (the “Controller”) under a Data Processing Agreement (“DPA”) that forms part of our service agreement.
This document describes the commitments we make under our DPA and is based on the Standard Contractual Clauses adopted by the European Commission (Implementing Decision (EU) 2021/915 of 4 June 2021), in order to ensure compliance with Article 28(3) and (4) of Regulation (EU) 2016/679 (General Data Protection Regulation, “GDPR”). It is published for transparency. The legally binding terms for each customer are set out in the signed DPA between Bitreport and that customer.
1. Scope and Purpose
Our DPA applies to the processing of personal data that we carry out on behalf of our customers when they use the Bitreport platform. The categories of personal data and the purposes of processing are set out in the Annex “Description of Processing” below. Terms used in this document have the same meaning as in the GDPR. This document does not by itself address compliance with obligations related to international transfers under Chapter V of the GDPR; we use the mechanisms described in the section on International Data Transfers.
2. Our Processing Obligations
Instructions and purpose limitation
We process personal data only on documented instructions from our customers, unless we are required to do so by EU or Member State law. If such a law applies, we will inform the customer before processing unless the law prohibits it on important grounds of public interest. We process personal data only for the specific purposes set out in the Description of Processing (Annex), unless we receive further instructions from the customer. We will immediately inform the customer if we believe an instruction infringes the GDPR or applicable data protection law.
Security of processing
We implement at least the technical and organisational measures set out in the Annex “Technical and Organisational Measures”. This includes protecting data against accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access (personal data breach). We grant access to personal data only to the minimum number of personnel strictly necessary for implementing, managing and monitoring the service, and we ensure that authorised persons are bound by confidentiality or an appropriate statutory obligation of confidentiality.
Sensitive data
We do not process special categories of personal data within the meaning of Article 9 GDPR. Photographs processed through the platform are used solely for operational documentation (task evidence, equipment condition, maintenance records) and are not used for biometric identification of natural persons.
Documentation and compliance
We are able to demonstrate compliance with our DPA obligations. We deal promptly and adequately with inquiries from customers about the processing of data. We make available to customers all information necessary to demonstrate compliance with the obligations under the DPA and the GDPR. At a customer’s request, we permit and contribute to audits of the processing activities at reasonable intervals or if there are indications of non-compliance. In deciding on a review or audit, the customer may take into account relevant certifications we hold.
The primary mechanism for demonstrating compliance is our SOC 2 Type II audit report (or equivalent independent third-party certification such as ISO 27001), which we make available to customers upon request. Where a customer has reasonable grounds to believe that additional verification is necessary (for example, following a personal data breach or upon indications of non-compliance), the customer may conduct or commission an on-site audit upon thirty (30) calendar days’ prior written notice, during normal business hours, and subject to reasonable confidentiality obligations. At the request of a competent supervisory authority, we make the information referred to in this section, including the results of any audits, available to that authority.
3. Sub-processors
We have our customers’ general authorisation to engage sub-processors from the list set out in the Annex “List of Sub-processors”. We will inform customers in writing of any intended addition or replacement of sub-processors at least fourteen (14) calendar days in advance, so that customers have sufficient time to object before we engage the sub-processor. We provide the information necessary for customers to exercise their right to object.
When we engage a sub-processor, we do so under a contract that imposes on the sub-processor, in substance, the same data protection obligations as those we have under our DPA. We ensure that the sub-processor complies with those obligations and with the GDPR. At a customer’s request, we provide a copy of the sub-processor agreement and any subsequent amendments; we may redact the text to protect business secrets or other confidential information, including personal data. We remain fully responsible to the customer for the performance of the sub-processor’s obligations. We will notify the customer of any failure by a sub-processor to fulfil its contractual obligations. We agree a third-party beneficiary clause with sub-processors so that, if we have factually disappeared, ceased to exist in law or become insolvent, the customer has the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
4. International Data Transfers
We transfer personal data to a third country or international organisation only on the basis of documented instructions from the customer or to fulfil a specific requirement under EU or Member State law, and in compliance with Chapter V of the GDPR. Where we engage sub-processors whose processing involves transfers within the meaning of Chapter V, we and the sub-processor ensure compliance using standard contractual clauses adopted by the European Commission under Article 46(2) GDPR, the EU-U.S. Data Privacy Framework, or other valid transfer mechanisms where the conditions for their use are met. Sub-processors that involve transfers outside the EEA are identified in the Annex “List of Sub-processors” together with the applicable transfer mechanism.
5. Assistance with Data Subject Rights
We will promptly notify the customer of any request we receive from a data subject. We will not respond to the request ourselves unless the customer authorises us to do so. We assist the customer in fulfilling its obligations to respond to data subjects’ requests to exercise their rights, taking into account the nature of the processing, and we comply with the customer’s instructions in that regard.
We also assist the customer in ensuring compliance with: (i) the obligation to carry out a data protection impact assessment where processing is likely to result in a high risk to the rights and freedoms of natural persons; (ii) the obligation to consult the competent supervisory authority prior to processing where a DPIA indicates high risk in the absence of mitigating measures; (iii) the obligation to ensure that personal data is accurate and up to date, by informing the customer without delay if we become aware that data we process is inaccurate or outdated; (iv) the obligations under Article 32 GDPR. The technical and organisational measures by which we assist are set out in the Annex “Technical and Organisational Measures”.
6. Personal Data Breach Notification
We cooperate with and assist our customers so that they can comply with their obligations under Articles 33 and 34 GDPR in the event of a personal data breach.
When a personal data breach concerns data we process on behalf of a customer, we assist the customer in notifying the breach to the competent supervisory authority (where relevant), in obtaining the information required for that notification (nature of the data, categories and approximate number of data subjects and records, likely consequences, measures taken or proposed), and in communicating the breach to data subjects where it is likely to result in a high risk to their rights and freedoms.
When a personal data breach concerns data processed by us, we will notify the customer without undue delay and in any event within twenty-four (24) hours after we become aware of the breach. The notification will contain at least: a description of the nature of the breach (including, where possible, the categories and approximate number of data subjects and data records concerned); the details of a contact point for more information; the likely consequences and the measures taken or proposed to address the breach and mitigate its effects. If we cannot provide all of this information at once, we will provide the information then available and supplement it without undue delay as it becomes available.
7. Suspension, Termination and Data Deletion
Without prejudice to the GDPR, if we are in breach of our obligations under the DPA, the customer may instruct us to suspend the processing of personal data until we comply or the contract is terminated. We will promptly inform the customer if we are unable to comply with the DPA for any reason.
The customer is entitled to terminate the contract insofar as it concerns processing under the DPA if: (i) the customer has suspended processing and compliance is not restored within a reasonable time and in any event within one month of suspension; (ii) we are in substantial or persistent breach of the DPA or our obligations under the GDPR; (iii) we fail to comply with a binding decision of a competent court or supervisory authority. We are entitled to terminate the contract insofar as it concerns processing under the DPA where, after having informed the customer that its instructions infringe applicable legal requirements, the customer insists on compliance with those instructions.
After termination of the service agreement, we will, at the customer’s choice, delete all personal data processed on behalf of the customer and certify that we have done so, or return all personal data to the customer and delete existing copies, unless EU or Member State law requires storage. Deletion or return will be completed within thirty (30) calendar days of termination. Until the data is deleted or returned, we will continue to ensure compliance with the DPA.
8. Liability and Governing Law
We remain liable to our customers for the performance of our obligations under the DPA and for the performance of our sub-processors’ obligations. The DPA is governed by the laws of the Republic of Croatia. Any disputes arising from or in connection with the DPA are subject to the exclusive jurisdiction of the competent court in Zagreb, Croatia, without prejudice to the right of data subjects to bring proceedings before the courts of the Member State in which they are habitually resident.
9. Annex: Description of Processing
Categories of data subjects
Employees and authorised personnel of the customer who use the Bitreport platform.
Categories of personal data
| Category | Examples |
|---|---|
| Identification data | First name, last name, email address (business), username, display name, profile photograph |
| Authentication data | Password hash, login codes, authentication tokens, Firebase UID, custom claims (role, organisations) |
| Organisational data | Organisation ID, user role, group membership, position |
| Communication data | Push notification payloads, email content (login codes, invitations, reports, notifications), comments |
| Media data | Photographs (task documentation, equipment, repairs), documents, digital signatures, PDF reports |
| Device data | Device ID, FCM tokens, platform, application version, OneSignal ID |
| Technical data | IP address (transient, not stored permanently), navigation breadcrumbs, error stack traces |
| Preference data | Language (locale), notification settings |
| Work data | Check-in records, shift timer data (working hours), task assignments and completion records, audit/checklist submissions, maintenance requests |
Sensitive data
No special categories of personal data within the meaning of Article 9 GDPR are processed. Photographs are used exclusively for operational documentation and are not used for biometric identification.
Nature and purposes of the processing
We provide, develop and maintain a cloud-based operations management platform (Bitreport) for digitizing audits, checklists, task management, incident reporting, and operational workflows across the customer’s locations. Personal data is processed on behalf of the customer for the following purposes:
1. User authentication and account lifecycle management
2. Push notifications regarding tasks, reports, repairs, and comments
3. Application error tracking and monitoring
4. Email communications (login codes, invitations, report delivery, notifications)
5. Customer support via in-app chat
6. Storage of media files (photographs, documents, digital signatures, PDF reports)
7. Task creation, assignment, tracking, and completion
8. Audit and checklist submission and evaluation
9. Maintenance request management and tracking
10. Working time tracking (check-in, shift timer)
11. User invitation and onboarding
12. Internal diagnostics and debugging
Duration of the processing
Processing continues for the duration of the service agreement. Upon termination, we delete or return all personal data within thirty (30) calendar days, unless applicable law requires further retention.
10. Annex: Technical and Organisational Measures
We implement the following technical and organisational measures to ensure the security of personal data.
1. Access control to systems and personal data
· We ensure adequate physical security measures for premises housing systems used for processing personal data, restricting access to authorised personnel only.
· Access to systems and personal data is limited to the minimum number of employees strictly necessary for performing their duties.
· Upon termination of an employee’s need for access (for any reason), we immediately revoke access. We review the access list at least monthly.
· All authorised personnel are informed and trained on data protection obligations and have signed confidentiality agreements.
· Remote access to systems is exclusively through encrypted channels (SSH or TLS). Authentication uses service-specific credentials with IP address whitelisting.
· All access by our personnel is logged and can be correlated with incidents or change requests.
· Privileged accounts are managed, documented, and their use is monitored.
2. System protection
· We have defined and implemented adequate technical and organisational measures for ICT and information security management, which are regularly reviewed and continuously improved.
· Systems are protected by appropriate access restriction measures preventing unauthorised access to systems or personal data.
· Next-generation firewall protection is deployed for effective monitoring and management of all traffic.
· Anti-virus and anti-malware systems are actively used on all applicable devices (computers, mobile devices, servers) and regularly updated to manufacturer-recommended versions.
· Access from the public internet is restricted to authorised persons only via encrypted communication channels (SSL/TLS).
· All storage media are encrypted using industry-standard encryption (e.g., BitLocker, AES-256 at rest). Secure disposal of storage media is ensured and can be demonstrated upon request.
· Security incidents are monitored, investigated, and documented, with particular attention to potential personal data breaches.
· The effectiveness of technical and organisational measures is tested and evaluated at least annually, with records available to customers upon request.
· Strong password policies are enforced: minimum 8 characters with a combination of upper/lower case and numbers. Shared credentials are prohibited.
· Only authorised and properly licensed software is used on work devices.
· Compliance evidence is continuously collected and made available to customers upon request.
· Employees receive regular training and awareness sessions on data protection and information security.
3. Data processing environment
· When personal data must be transferred to our environment, only the minimum necessary dataset is transferred, and the transfer is documented.
· The processing environment is protected by industry-standard firewalls, traffic filters, vulnerability management systems, and anti-malware protection.
· Personal data at rest is stored exclusively on encrypted media/systems (encryption at rest).
· Unauthorised exfiltration of data outside official premises is prevented, whether via physical media or network transmission.
· Privacy-by-design and privacy-by-default principles are applied to all processing of personal data.
4. Sub-processor management
· We ensure that each sub-processor is bound by appropriate confidentiality obligations and a data processing agreement with terms no less protective than those in our DPA.
· We access sub-processor systems in a secure manner and regularly verify the effectiveness of established security measures.
· Each sub-processor has access only to the minimum amount of personal data required for performing its specified tasks.
5. Application development and changes
· All application components are planned and designed to maintain compliance with the data protection framework (privacy-by-design).
· All applicable components undergo security testing to ensure that changes do not compromise the customer’s data protection compliance (privacy-by-default).
· Developed or modified components are verified to prevent unauthorised access and to ensure the system is not compromised.
6. Business continuity and data recovery
· We maintain regular automated backups of all personal data.
· Backup restoration procedures are tested periodically to ensure data recoverability.
· A business continuity and disaster recovery (BC&DR) plan is maintained and reviewed.
11. Annex: List of Sub-processors
Our customers have authorised the use of the following sub-processors:
| Sub-processor | Purpose | Data Location | Transfer Mechanism | Data Processed |
|---|---|---|---|---|
| Firebase (Google LLC) | User authentication, session management, identity verification | Auth: US; Other services: EU | EU SCCs, EU-U.S. DPF | Email, display name, phone number, photo URL, password hash, UID, custom claims |
| Sentry (Functional Software, Inc.) | Application error tracking and monitoring | US | EU SCCs, EU-U.S. DPF | UID, email, username, error context, stack traces |
| OneSignal (OneSignal, Inc.) | Push notifications to users on mobile and web | US | EU SCCs, EU-U.S. DPF | User UID, notification content, device metadata, organisation ID |
| Intercom (Intercom, Inc.) | In-app customer support chat | US / EU (Dublin, Ireland) | EU SCCs, EU-U.S. DPF | UID, email, name, organisation, user role, app version |
| AWS SES (Amazon Web Services, Inc.) | Transactional email service | EU (Frankfurt, Germany) | N/A (EU processing) | Recipient email, name, email content (login codes, invitations, reports) |
| AWS S3 (Amazon Web Services, Inc.) | File and media storage | EU | N/A (EU processing) | Photographs, documents, signatures, PDF reports |
| Cloudflare (Cloudflare, Inc.) | CDN, DDoS protection, DNS, WAF, file and media storage (R2) | EU | N/A (EU processing) | IP addresses, request headers, user agent; photographs, documents, signatures, PDF reports (R2 storage) |
| PlanetScale (PlanetScale, Inc.) | MySQL database hosting | EU | N/A (EU processing) | All database records (full personal data set as described in Annex) |
| Hetzner (Hetzner Online GmbH) | Server infrastructure hosting | EU (Germany) | N/A (EU processing) | All data in transit and at rest on backend servers |
| Vercel (Vercel, Inc.) | Web application hosting (frontend) | Transit via US data centres | EU SCCs, EU-U.S. DPF | Web traffic (IP addresses, user agent), no persistent storage of personal data |
| Google Cloud Platform (Google LLC) | AI services (Vertex AI, Gemini) | EU | N/A (EU processing) | AI processing inputs/outputs (operational text, media content) |
Services that do not process personal data
The following services are used by us but do not process personal data of our customers’ data subjects and are therefore not classified as sub-processors under Article 28 GDPR:
| Service | Purpose | Reason for exclusion |
|---|---|---|
| Doppler | Secrets management (environment variables) | Manages API keys and configuration only; no access to personal data |
| Flagsmith | Feature flag management | Uses only organisation ID for feature targeting; no personal data |
| Microsoft CodePush | Over-the-air mobile app updates | Deployment metadata only (version, label); no personal data |
| Mattermost (self-hosted) | Internal team communication | Self-hosted on our infrastructure; no third-party data transfer |
12. Contact
Bitreport d.o.o.
Zagrebačka cesta 126, 10000 Zagreb, Croatia
Email: [email protected]
Web: getbitreport.com
Sporazum o obradi podataka
Posljednja izmjena: veljača 2026.
Bitreport d.o.o. – Sporazum o obradi podataka (javna referenca)
Bitreport d.o.o. (“Bitreport”, “mi”) pruža platformu za upravljanje operacijama (“Bitreport”) za tvrtke u maloprodaji i ugostiteljstvu, uključujući digitalizaciju revizija, upravljanje zadacima, izvještavanje o incidentima i operativne tijekove. Osobne podatke obrađujemo u ime naših kupaca (“Voditelj obrade”) u sklopu Sporazuma o obradi podataka (“SOP”) koji je sastavni dio našeg ugovora o pružanju usluga.
Ovaj dokument opisuje obveze koje preuzimamo u sklopu našeg SOP-a i temelji se na Standardnim ugovornim klauzulama koje je usvojila Europska komisija (Odluka o provedbi (EU) 2021/915 od 4. lipnja 2021.), kako bismo osigurali usklađenost s člankom 28. stavak 3. i 4. Uredbe (EU) 2016/679 (Opća uredba o zaštiti podataka, “GDPR”). Objavljuje se radi transparentnosti. Pravno obvezujući uvjeti za svakog kupca navedeni su u potpisanom SOP-u između Bitreporta i tog kupca.
1. Područje primjene i svrha
Naš SOP primjenjuje se na obradu osobnih podataka koju provodimo u ime naših kupaca kada koriste platformu Bitreport. Kategorije osobnih podataka i svrhe obrade navedene su u Prilogu “Opis obrade” u nastavku. Pojmovi korišteni u ovom dokumentu imaju isto značenje kao u GDPR-u. Ovaj dokument sam po sebi ne rješava usklađenost s obvezama vezanim uz međunarodne prijenose u sklopu Poglavlja V. GDPR-a; koristimo mehanizme opisane u odjeljku o međunarodnim prijenosima podataka.
2. Naše obveze u vezi s obradom
Upute i ograničenje svrhe
Osobne podatke obrađujemo samo na temelju dokumentiranih uputa naših kupaca, osim ako to ne zahtijeva zakon EU-a ili države članice. Ako se takav zakon primjenjuje, obavijestit ćemo kupca prije obrade, osim ako zakon to ne zabranjuje iz važnih razloga javnog interesa. Osobne podatke obrađujemo samo za posebne svrhe navedene u Opisu obrade (Prilog), osim ako ne primimo daljnje upute od kupca. Odmah ćemo obavijestiti kupca ako smatramo da uputa krši GDPR ili mjerodavni zakon o zaštiti podataka.
Sigurnost obrade
Provedimo najmanje tehničke i organizacijske mjere navedene u Prilogu “Tehničke i organizacijske mjere”. To uključuje zaštitu podataka od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa (povreda osobnih podataka). Pristup osobnim podacima odobravamo samo minimalnom broju osoblja strogo potrebnom za provedbu, upravljanje i praćenje usluge, te osiguravamo da su ovlaštene osobe obvezane na povjerljivost ili odgovarajuću zakonsku obvezu povjerljivosti.
Osjetljivi podaci
Ne obrađujemo posebne kategorije osobnih podataka u smislu članka 9. GDPR-a. Fotografije obrađene putem platforme koriste se isključivo za operativnu dokumentaciju (dokazi o zadacima, stanje opreme, evidencija održavanja) i ne koriste se za biometrijsku identifikaciju fizičkih osoba.
Dokumentacija i usklađenost
U stanju smo dokazati usklađenost s našim obvezama iz SOP-a. Promptno i primjereno rješavamo upite kupaca o obradi podataka. Kupcima stavljamo na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama iz SOP-a i GDPR-a. Na zahtjev kupca dopuštamo i sudjelujemo u revizijama aktivnosti obrade u razumnim razmacima ili ako postoje naznake neusklađenosti. Pri odlučivanju o reviziji ili auditu, kupac može uzeti u obzir relevantne certifikate koje posjedujemo.
Primarni mehanizam za dokazivanje usklađenosti je naše izvješće o auditu SOC 2 Tip II (ili ekvivalentna neovisna certifikacija treće strane kao što je ISO 27001), koje kupcima stavljamo na raspolaganje na zahtjev. Ako kupac ima opravdane razloge vjerovati da je potrebna dodatna provjera (primjerice, nakon povrede osobnih podataka ili uz naznake neusklađenosti), kupac može provesti ili naručiti reviziju na licu mjesta uz prethodnu pisanu obavijest od trideset (30) kalendarskih dana, tijekom uobičajenog radnog vremena i uz razumne obveze povjerljivosti. Na zahtjev nadležnog nadzornog tijela stavljamo na raspolaganje tom tijelu informacije iz ovog odjeljka, uključujući rezultate eventualnih revizija.
3. Podizvršitelji obrade
Imamo opću ovlast naših kupaca za angažiranje podizvršitelja obrade s popisa navedenog u Prilogu “Popis podizvršitelja obrade”. Kupce ćemo pisanim putem obavijestiti o svakoj predviđenoj dodaci ili zamjeni podizvršitelja najmanje četrnaest (14) kalendarskih dana unaprijed, kako bi kupci imali dovoljno vremena za prigovor prije nego angažiramo podizvršitelja. Pružamo informacije potrebne kupcima za ostvarivanje prava na prigovor.
Kada angažiramo podizvršitelja, činimo to ugovorom koji na podizvršitelja u suštini nameće iste obveze zaštite podataka kao one koje imamo prema našem SOP-u. Osiguravamo da podizvršitelj ispunjava te obveze i GDPR. Na zahtjev kupca dostavljamo kopiju tog ugovora s podizvršiteljem i eventualnih naknadnih izmjena; možemo prečrtati tekst kako bismo zaštitili poslovne tajne ili druge povjerljive informacije, uključujući osobne podatke. Ostajemo u potpunosti odgovorni prema kupcu za ispunjavanje obveza podizvršitelja. Obavijestit ćemo kupca o svakom neispunjenju ugovornih obveza od strane podizvršitelja. S podizvršiteljima dogovaramo klauzulu o korisniku treće strane tako da, ako smo činjenično nestali, prestali pravno postojati ili postali nesolventni, kupac ima pravo raskinuti ugovor s podizvršiteljem i uputiti podizvršitelja da izbriše ili vrati osobne podatke.
4. Međunarodni prijenosi podataka
Osobne podatke prenosimo u treću zemlju ili međunarodnu organizaciju samo na temelju dokumentiranih uputa kupca ili u svrhu ispunjavanja posebnog zahtjeva prema zakonu EU-a ili države članice koji se na nas primjenjuje, i to u skladu s Poglavljem V. GDPR-a. Kada angažiramo podizvršitelje čija obrada uključuje prijenose u smislu Poglavlja V., mi i podizvršitelj osiguravamo usklađenost korištenjem standardnih ugovornih klauzula koje je usvojila Europska komisija prema članku 46. stavak 2. GDPR-a, Okvira EU-SAD za zaštitu podataka ili drugih valjanih mehanizama prijenosa kada su ispunjeni uvjeti za njihovu uporabu. Podizvršitelji koji uključuju prijenose izvan EGP-a navedeni su u Prilogu “Popis podizvršitelja obrade” zajedno s mjerodavnim mehanizmom prijenosa.
5. Pomaganje u ostvarivanju prava ispitanika
Promptno ćemo obavijestiti kupca o svakom zahtjevu koji primimo od ispitanika. Na zahtjev nećemo odgovarati sami osim ako nas kupac ne ovlasti. Pomažemo kupcu u ispunjavanju obveza odgovora na zahtjeve ispitanika za ostvarivanje njihovih prava, uzimajući u obzir prirodu obrade, i u tom smislu postupamo u skladu s uputama kupca.
Također pomažemo kupcu u osiguravanju usklađenosti s: (i) obvezom provedbe procjene utjecaja predviđenih operacija obrade na zaštitu osobnih podataka kada je vjerojatno da će određena vrsta obrade rezultirati visokim rizikom za prava i slobode fizičkih osoba; (ii) obvezom konzultiranja nadležnog nadzornog tijela prije obrade kada procjena utjecaja pokaže da bi obrada bez mjera ublažavanja rizika koje poduzme voditelj rezultirala visokim rizikom; (iii) obvezom osiguravanja točnosti i ažurnosti osobnih podataka, tako što ćemo kupca bez odgađanja obavijestiti ako ustanovimo da su podaci koje obrađujemo netočni ili zastarjeli; (iv) obvezama iz članka 32. GDPR-a. Tehničke i organizacijske mjere pomoću kojih pomažemo navedene su u Prilogu “Tehničke i organizacijske mjere”.
6. Obavijest o povredi osobnih podataka
Surađujemo s našim kupcima i pomažemo im kako bi mogli ispuniti obveze prema člancima 33. i 34. GDPR-a u slučaju povrede osobnih podataka.
Kada se povreda osobnih podataka odnosi na podatke koje obrađujemo u ime kupca, pomažemo kupcu u obavještavanju nadležnog nadzornog tijela o povredi (gdje je relevantno), u pribavljanju informacija potrebnih za tu obavijest (priroda podataka, kategorije i približan broj ispitanika i zapisa, vjerojatne posljedice, poduzete ili predložene mjere) i u priopćavanju povrede ispitanicima kada je vjerojatno da će rezultirati visokim rizikom za njihova prava i slobode.
Kada se povreda osobnih podataka odnosi na podatke koje obrađujemo mi, obavijestit ćemo kupca bez nepotrebnog odgađanja i u svakom slučaju u roku od dvadeset i četiri (24) sata nakon što smo saznali za povredu. Obavijest će sadržavati najmanje: opis prirode povrede (uključujući, gdje je moguće, kategorije i približan broj ispitanika i zapisa o podacima); podatke o kontaktnoj točki za više informacija; vjerojatne posljedice i poduzete ili predložene mjere za rješavanje povrede i ublažavanje njezinih učinaka. Ako ne možemo istodobno dostaviti sve te informacije, početna obavijest sadržavat će tada dostupne informacije, a daljnje informacije bit će bez nepotrebnog odgađanja dostavljene kako postanu dostupne.
7. Suspendiranje, raskid i brisanje podataka
Ne dovodeći u pitanje GDPR, ako kršimo naše obveze iz SOP-a, kupac nas može uputiti da obustavimo obradu osobnih podataka dok ne ispunimo obveze ili dok ugovor ne bude raskinut. Promptno ćemo obavijestiti kupca ako iz bilo kojeg razloga nismo u mogućnosti ispuniti SOP.
Kupac ima pravo raskinuti ugovor u dijelu koji se odnosi na obradu prema SOP-u ako: (i) je kupac obustavio obradu i usklađenost nije uspostavljena u razumnom roku i u svakom slučaju u roku od mjesec dana od obustave; (ii) smo u bitnoj ili trajnoj povredi SOP-a ili naših obveza prema GDPR-u; (iii) ne ispunjavamo pravomoćnu odluku nadležnog suda ili nadzornog tijela. Mi imamo pravo raskinuti ugovor u dijelu koji se odnosi na obradu prema SOP-u kada, nakon što smo obavijestili kupca da njegove upute krše mjerodavne zakonske zahtjeve, kupac inzistira na usklađenosti s tim uputama.
Po raskidu ugovora o pružanju usluga, prema izboru kupca izbrisat ćemo sve osobne podatke obrađene u ime kupca i potvrditi da smo to učinili, ili vratit ćemo sve osobne podatke kupcu i izbrisati postojeće kopije, osim ako zakon EU-a ili države članice ne zahtijeva pohranu. Brisanje ili povrat bit će dovršeni u roku od trideset (30) kalendarskih dana od raskida. Dok podaci nisu izbrisani ili vraćeni, nastavit ćemo osiguravati usklađenost sa SOP-om.
8. Odgovornost i mjerodavno pravo
Ostajemo odgovorni prema našim kupcima za ispunjavanje naših obveza prema SOP-u i za ispunjavanje obveza naših podizvršitelja. SOP-om se upravlja zakonima Republike Hrvatske. Svi sporovi koji proizlaze iz SOP-a ili su u vezi s njim podliježu isključivo nadležnosti nadležnog suda u Zagrebu, Hrvatska, ne dovodeći u pitanje pravo ispitanika na pokretanje postupka pred sudovima države članice u kojoj obično borave.
9. Prilog: Opis obrade
Kategorije ispitanika
Zaposlenici i ovlašteno osoblje kupca koji koriste platformu Bitreport.
Kategorije osobnih podataka
| Kategorija | Primjeri |
|---|---|
| Identifikacijski podaci | Ime, prezime, email adresa (poslovna), korisničko ime, prikazano ime, profilna fotografija |
| Podaci o autentifikaciji | Hash lozinke, kodovi za prijavu, tokeni za autentifikaciju, Firebase UID, prilagođene tvrdnje (uloga, organizacije) |
| Organizacijski podaci | ID organizacije, korisnička uloga, članstvo u grupi, pozicija |
| Komunikacijski podaci | Sadržaj push obavijesti, sadržaj emaila (kodovi za prijavu, pozivnice, izvještaji, obavijesti), komentari |
| Medijski podaci | Fotografije (dokumentacija zadataka, oprema, popravci), dokumenti, digitalni potpisi, PDF izvještaji |
| Podaci o uređaju | ID uređaja, FCM tokeni, platforma, verzija aplikacije, OneSignal ID |
| Tehnički podaci | IP adresa (prolazna, ne pohranjuje se trajno), navigacijski put, tragovi grešaka |
| Podaci o preferencijama | Jezik (locale), postavke obavijesti |
| Podaci o radu | Evidencija prijave, podaci tajmera smjene (radno vrijeme), zadaci i evidencija dovršetka, podnesci revizija/kontrolnih lista, zahtjevi za održavanje |
Osjetljivi podaci
Ne obrađuju se posebne kategorije osobnih podataka u smislu članka 9. GDPR-a. Fotografije se koriste isključivo za operativnu dokumentaciju i ne koriste se za biometrijsku identifikaciju.
Priroda i svrhe obrade
Pružamo, razvijamo i održavamo cloud platformu za upravljanje operacijama (Bitreport) za digitalizaciju revizija, kontrolnih lista, upravljanje zadacima, izvještavanje o incidentima i operativnih tijekova na lokacijama kupca. Osobni podaci obrađuju se u ime kupca za sljedeće svrhe:
1. Autentifikacija korisnika i upravljanje životnim ciklusom računa
2. Push obavijesti o zadacima, izvještajima, popravcima i komentarima
3. Praćenje i nadzor grešaka u aplikaciji
4. Email komunikacija (kodovi za prijavu, pozivnice, dostava izvještaja, obavijesti)
5. Korisnička podrška putem chata u aplikaciji
6. Pohrana medijskih datoteka (fotografije, dokumenti, digitalni potpisi, PDF izvještaji)
7. Izrada, dodjela, praćenje i dovršetak zadataka
8. Podnošenje i vrednovanje revizija i kontrolnih lista
9. Upravljanje i praćenje zahtjeva za održavanje
10. Praćenje radnog vremena (prijava, tajmer smjene)
11. Pozivnice i onboarding korisnika
12. Interna dijagnostika i uklanjanje grešaka
Trajanje obrade
Obrada se nastavlja tijekom trajanja ugovora o pružanju usluga. Po raskidu ugovora brišemo ili vraćamo sve osobne podatke u roku od trideset (30) kalendarskih dana, osim ako mjerodavni zakon ne zahtijeva dulje zadržavanje.
10. Prilog: Tehničke i organizacijske mjere
Provedimo sljedeće tehničke i organizacijske mjere kako bismo osigurali sigurnost osobnih podataka.
1. Kontrola pristupa sustavima i osobnim podacima
· Osiguravamo primjerene fizičke sigurnosne mjere za prostore u kojima se nalaze sustavi za obradu osobnih podataka, ograničavajući pristup samo ovlaštenom osoblju.
· Pristup sustavima i osobnim podacima ograničen je na minimalan broj zaposlenika strogo potrebnih za obavljanje svojih dužnosti.
· Po prestanku potrebe zaposlenika za pristupu (iz bilo kojeg razloga) odmah ukidamo pristup. Popis pristupa pregledavamo najmanje mjesečno.
· Svo ovlašteno osoblje informirano je i obučeno o obvezama zaštite podataka i potpisalo je ugovore o povjerljivosti.
· Daljinski pristup sustavima isključivo je putem šifriranih kanala (SSH ili TLS). Autentifikacija koristi vjerodajnice specifične za uslugu s listom dopuštenih IP adresa.
· Sav pristup našeg osoblja evidentira se i može se povezati s incidentima ili zahtjevima za promjenu.
· Privilegirani računi se upravljaju, dokumentiraju i njihova se uporaba prati.
2. Zaštita sustava
· Definirali smo i provedli primjerene tehničke i organizacijske mjere za upravljanje ICT-om i sigurnošću informacija, koje se redovito pregledavaju i kontinuirano poboljšavaju.
· Sustavi su zaštićeni odgovarajućim mjerama ograničavanja pristupa koje sprječavaju neovlašteni pristup sustavima ili osobnim podacima.
· Zaštita next-generation firewallom primjenjuje se za učinkovito praćenje i upravljanje svim prometom.
· Sustavi protiv virusa i zlonamjernog softvera aktivno se koriste na svim primjenjivim uređajima (računala, mobilni uređaji, poslužitelji) i redovito se ažuriraju na verzije preporučene od strane proizvođača.
· Pristup s javnog interneta ograničen je samo na ovlaštene osobe putem šifriranih komunikacijskih kanala (SSL/TLS).
· Svi mediji za pohranu šifriraju se industrijski standardnom enkripcijom (npr. BitLocker, AES-256 u mirovanju). Osigurano je sigurno odlaganje medija za pohranu i to se može dokazati na zahtjev.
· Sigurnosni incidenti se prate, istražuju i dokumentiraju, s posebnom pažnjom na potencijalne povrede osobnih podataka.
· Učinkovitost tehničkih i organizacijskih mjera testira se i procjenjuje najmanje godišnje, s evidencijama dostupnim kupcima na zahtjev.
· Primjenjuju se jake politike lozinki: minimalno 8 znakova s kombinacijom velikih/malih slova i brojeva. Zabranjeno je dijeljenje vjerodajnica.
· Na radnim uređajima koristi se samo ovlašteni i propisno licencirani softver.
· Dokazi o usklađenosti kontinuirano se prikupljaju i stavljaju na raspolaganje kupcima na zahtjev.
· Zaposlenici redovito pohađaju obuke i osvješćivanja o zaštiti podataka i sigurnosti informacija.
3. Okruženje za obradu podataka
· Kada osobni podaci moraju biti preneseni u naše okruženje, prenosi se samo minimalno potreban skup podataka, a prijenos se dokumentira.
· Okruženje za obradu zaštićeno je industrijski standardnim firewallima, filterima prometa, sustavima za upravljanje ranjivošću i zaštitom od zlonamjernog softvera.
· Osobni podaci u mirovanju pohranjuju se isključivo na šifriranim medijima/sustavima (enkripcija u mirovanju).
· Sprječava se neovlašteno iznošenje podataka izvan službenih prostorija, bilo putem fizičkih medija ili mrežnog prijenosa.
· Na sve obrade osobnih podataka primjenjuju se načela zaštite privatnosti pri projektiranju i zadano zaštite privatnosti.
4. Upravljanje podizvršiteljima obrade
· Osiguravamo da je svaki podizvršitelj obrade obvezan primjerenim obvezama povjerljivosti i sporazumom o obradi podataka s uvjetima koji nisu manje zaštitni od onih u našem SOP-u.
· Pristupamo sustavima podizvršitelja na siguran način i redovito provjeravamo učinkovitost uspostavljenih sigurnosnih mjera.
· Svaki podizvršitelj ima pristup samo minimalnoj količini osobnih podataka potrebnih za obavljanje svojih specificiranih zadataka.
5. Razvoj aplikacija i promjene
· Sve komponente aplikacije planiraju se i projektiraju kako bi se održala usklađenost s okvirom zaštite podataka (zaštita privatnosti pri projektiranju).
· Sve primjenjive komponente prolaze sigurnosno testiranje kako bi se osiguralo da promjene ne ugroze usklađenost kupca sa zaštitom podataka (zadana zaštita privatnosti).
· Razvijene ili izmijenjene komponente provjeravaju se kako bi se spriječio neovlašteni pristup i osiguralo da sustav nije ugrožen.
6. Poslovni kontinuitet i oporavak podataka
· Održavamo redovite automatizirane sigurnosne kopije svih osobnih podataka.
· Postupci vraćanja sigurnosnih kopija periodički se testiraju kako bi se osigurala oporavljivost podataka.
· Plan poslovnog kontinuiteta i oporavka od katastrofe (BC&DR) održava se i pregledava.
11. Prilog: Popis podizvršitelja obrade
Naši kupci ovlastili su korištenje sljedećih podizvršitelja obrade:
| Podizvršitelj | Svrha | Lokacija podataka | Mehanizam prijenosa | Obrađeni podaci |
|---|---|---|---|---|
| Firebase (Google LLC) | Autentifikacija korisnika, upravljanje sesijom, provjera identiteta | Auth: SAD; Ostale usluge: EU | EU SUK, EU-SAD DPF | Email, prikazano ime, broj telefona, URL fotografije, hash lozinke, UID, prilagođene tvrdnje |
| Sentry (Functional Software, Inc.) | Praćenje i nadzor grešaka u aplikaciji | SAD | EU SUK, EU-SAD DPF | UID, email, korisničko ime, kontekst greške, tragovi stoga |
| OneSignal (OneSignal, Inc.) | Push obavijesti korisnicima na mobilnim uređajima i webu | SAD | EU SUK, EU-SAD DPF | Korisnički UID, sadržaj obavijesti, metapodaci uređaja, ID organizacije |
| Intercom (Intercom, Inc.) | Chat korisničke podrške u aplikaciji | SAD / EU (Dublin, Irska) | EU SUK, EU-SAD DPF | UID, email, ime, organizacija, korisnička uloga, verzija aplikacije |
| AWS SES (Amazon Web Services, Inc.) | Usluga transakcijskog emaila | EU (Frankfurt, Njemačka) | N/A (obrada u EU) | Email primatelja, ime, sadržaj emaila (kodovi za prijavu, pozivnice, izvještaji) |
| AWS S3 (Amazon Web Services, Inc.) | Pohrana datoteka i medija | EU | N/A (obrada u EU) | Fotografije, dokumenti, potpisi, PDF izvještaji |
| Cloudflare (Cloudflare, Inc.) | CDN, zaštita od DDoS-a, DNS, WAF, pohrana datoteka i medija (R2) | EU | N/A (obrada u EU) | IP adrese, zaglavlja zahtjeva, user agent; fotografije, dokumenti, potpisi, PDF izvještaji (R2 pohrana) |
| PlanetScale (PlanetScale, Inc.) | MySQL hosting baze podataka | EU | N/A (obrada u EU) | Svi zapisi u bazi (cijeli skup osobnih podataka kako je opisan u Prilogu) |
| Hetzner (Hetzner Online GmbH) | Hosting poslužiteljske infrastrukture | EU (Njemačka) | N/A (obrada u EU) | Svi podaci u tranzitu i u mirovanju na backend poslužiteljima |
| Vercel (Vercel, Inc.) | Hosting web aplikacije (frontend) | Tranzit preko američkih podatkovnih centara | EU SUK, EU-SAD DPF | Web promet (IP adrese, user agent), bez trajne pohrane osobnih podataka |
| Google Cloud Platform (Google LLC) | AI usluge (Vertex AI, Gemini) | EU | N/A (obrada u EU) | Ulazi/izlazi AI obrade (operativni tekst, medijski sadržaj) |
Usluge koje ne obrađuju osobne podatke
Sljedeće usluge koristimo mi, ali ne obrađuju osobne podatke ispitanika naših kupaca i stoga se ne klasificiraju kao podizvršitelji obrade prema članku 28. GDPR-a:
| Usluga | Svrha | Razlog isključenja |
|---|---|---|
| Doppler | Upravljanje tajnama (varijable okruženja) | Upravlja samo API ključevima i konfiguracijom; nema pristupa osobnim podacima |
| Flagsmith | Upravljanje feature zastavicama | Koristi samo ID organizacije za ciljanje; nema osobnih podataka |
| Microsoft CodePush | Nadzorne ažuriranje mobilne aplikacije | Samo metapodaci o implementaciji (verzija, oznaka); nema osobnih podataka |
| Mattermost (self-hosted) | Interna timska komunikacija | Self-hosted na našoj infrastrukturi; nema prijenosa podataka trećoj strani |
12. Kontakt
Bitreport d.o.o.
Zagrebačka cesta 126, 10000 Zagreb, Hrvatska
Email: [email protected]
Web: getbitreport.com