Legal

28·11·2018
Opći uvjeti poslovanja

24·05·2018
Pravila privatnosti

Pravila privatnosti

Pravila o privatnosti podataka

Web stranica www.volum3.com i web platforma app.volum3.com

Ugovor o obradi podataka u skladu s čl. 28 GDPR-a

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

1. Općenito

Između ostalog, VOLUM3 obrađuje osobne podatke (poput imena, adrese e-pošte itd.) koji se prikupljaju od klijenta, obrađuju na sustavima VOLUM3 i pohranjuju u potrebnu svrhu i trajanje. Posebno su obuhvaćene sljedeće aktivnosti:

2. Tipovi podataka

Sljedeće vrste podataka redovito su predmet obrade:

VOLUM3 obrađuje podatke klijenta i članova njegove tvrtke u navedene svrhe i klijent izričito pristaje na tu obradu. Klijent može opozvati svoj pristanak u bilo kojem trenutku.

Osobni podaci: Pri registraciji VOLUM3 sprema adresu e-pošte i osobnu lozinku za prijavu na sigurno područje VOLUM3. VOLUM3 također koristi e-adresu korisnika kako bi korisnicima pružio obavijesti sustava prilikom korištenja usluga (poput obavijesti o novom zadatku u projektu) i informacije o sustavu i proizvodima VOLUM3.

VOLUM3 također pohranjuje ime, prezime, zanimanje i podatke o tvrtki - PDV broj, broj zaposlenih, adresu (ulica, kućni broj, poštanski broj, grad, država, adresa e-pošte), telefonski broj i naziv tvrtke klijenta za pružanje usluga i njihovu naplatu.

Datoteke: U kontekstu korištenja usluga VOLUM3, klijent može spremiti planove, fotografije, slike, tekstove, audio informacije itd. na određeni projekt na web poslužiteljima VOLUM3. Pohranjene datoteke postaju dostupne svakom korisniku kojeg je kupac aktivirao za ovaj projekt.

Podaci za prijavu: Ako se korisnik prijavi u VOLUM3 sa svojom adresom e-pošte i osobnom lozinkom, VOLUM3 pohranjuje vrijeme i datum prijave. VOLUM3 koristi ove podatke za otkrivanje i ispravljanje pogrešaka, poboljšanje usluge i obradu upita ili žalbi kupaca.

Google Analytics: Web stranica VOLUM3 koristi Google Analytics, uslugu web analitike koju pruža Google Inc. ("Google"). Google Analytics koristi takozvane "kolačiće", tekstualne datoteke koje su pohranjene na korisnikovom računalu i koje omogućuju analizu upotrebe web stranice od strane korisnika.

Informacije koje generira kolačić o upotrebi web mjesta (uključujući IP adresu) prenose se na Googleov poslužitelj i tamo pohranjuju. Google će ove podatke koristiti u svrhu procjene korištenja web stranice, sastavljanja izvješća o aktivnostima web stranica za operatore web stranica i pružanja drugih usluga povezanih s aktivnošću web stranice i korištenjem interneta.

Google također može prenijeti ove podatke trećim stranama ako to zahtijeva zakon ili ukoliko treće strane obrađuju ove podatke u ime Googlea. Google nikada neće povezati IP adresu s drugim podacima. Korisnik može spriječiti instalaciju kolačića postavljanjem softvera preglednika u skladu s tim; VOLUM3 međutim ističe da u ovom slučaju korisnik možda neće moći u potpunosti koristiti sve funkcije web stranice. Korištenjem web stranice korisnik pristaje na obradu podataka koje je o njemu prikupio Google na gore opisani način i u gore spomenutu svrhu.

Mailgun

VOLUM3 koristi Mailgun Technologies, davatelja usluga e-pošte za obavijesti e-poštom. Za informacije o zaštiti privatnosti podataka MailGun posjetite https://www.mailgun.com/privacy-policy/

Cloudflare One

VOLUM3 koristi Cloudflare One za sigurne, brze i pouzdane mrežne usluge. Za informacije o Cloudflare One privatnosti podataka posjetite https://www.cloudflare.com/privacypolicy/?utm_referrer=https://www.google.com/

3. Kategorije

Sljedeće kategorije korisnika (osoba) podliježu obradi:

4. Trajanje Ugovora

Ugovor završava završetkom obrade podataka i obveznim brisanjem podataka od strane VOLUM3.

5. Obveze VOLUM3

VOLUM3 se obvezuje obrađivati podatke samo u kontekstu klijentovih pisanih naloga. Ako VOLUM3 dobije službenu naredbu za objavljivanje podataka o klijentu, mora - u mjeri u kojoj je to zakonski dopušteno - odmah obavijestiti klijenta i uputiti ga vlastima.

VOLUM3 proglašava pravno obvezujućim da su sve osobe zadužene za obradu podataka obvezne na povjerljivost prije početka aktivnosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti.

VOLUM3 proglašava pravno obvezujućim da su poduzete sve potrebne mjere kako bi se osigurala sigurnost obrade prema čl. 32 GDPR https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

VOLUM3 poduzima tehničke i organizacijske mjere, tako da klijent može u bilo kojem trenutku ispuniti prava nositelja podataka prema poglavlju III GDPR-a u svakom trenutku (informacije, otkrivanje, ispravljanje i brisanje, prenosivost podataka, protivljenje, kao i automatizirano donošenje odluka u pojedinačnim slučajevima) unutar zakonskih rokova i ostavlja kupcu sve potrebne podatke. 

Ako se takav zahtjev podnese VOLUM3-u i ukazuje na to da ga podnositelj zahtjeva pogrešno smatra nalogodavcem podatkovne aplikacije kojom upravlja, VOLUM3 mora zahtjev odmah proslijediti nalogodavcu i obavijestiti podnositelja zahtjeva.

S obzirom na obradu podataka koje pruža kupac, klijentu se daje pravo pregleda i provjere u bilo kojem trenutku, čak i ako su to naručile treće strane. VOLUM3 se obvezuje pružiti klijentu informacije potrebne za kontrolu poštivanja obveza utvrđenih ovim sporazumom.

VOLUM3 je obvezan nakon raskida ovog sporazuma uništiti sve rezultate obrade i zapise koji sadrže podatke u ime naručitelja.

VOLUM3 mora odmah obavijestiti klijenta ako VOLUM3 vjeruje da upute klijenta krše odredbe o zaštiti podataka Europske unije ili država članica.

6. Mjesto obrade

Sve aktivnosti obrade podataka provode se isključivo unutar EU ili EEA.

7. Podprocesori

VOLUM3 navodi sljedeće kooperante za hosting: 

DigitalOcean https://www.digitalocean.com/

8. Obveze Korisnika

Prilikom rukovanja osobnim podacima, klijent će poštivati odredbe Zakona o zaštiti podataka i Zakona o telekomunikacijama te će poduzeti tehničke i organizacijske mjere koje klijent zahtjeva za zaštitu podataka u zoni odgovornosti.

Klijent se obvezuje, a posebno njegovi zaposlenici, pridržavati se odredbi Zakona o zaštiti podataka.

Klijent poduzima sve razumne mjere u svom području odgovornosti kako bi zaštitio pohranjene podatke i informacije od neovlaštenog pristupa trećih strana. VOLUM3 nije odgovoran ako treće strane uspiju ilegalno pristupiti podacima i informacijama.

Klijent može pozvati druge korisnike (npr. Njihove kooperante i/ili podizvođače) da koriste softver za određeni projekt unosom njihovih adresa e-pošte. U tom će slučaju klijent unaprijed dobiti provjerljivi pristanak odgovarajućeg korisnika za upotrebu njegovih osobnih podataka.

 

9. Sigurnosni koncept

Vidjeti dokument VOLUM3 Standardi sigurnosti i privatnosti (Prilog 1. VOLUM3 Standardi sigurnosti i privatnosti)

 

10. Vaša prava / Kontakt

U osnovi imate pravo na informaciju, ispravak, brisanje, ograničenje, prijenos podataka, opoziv i protivljenje.

Možete nas kontaktirati na adresi:

VOLUM3 d.o.o.

Trg Eugena Kvaternika 3/3

10000 Zagreb

Možete kontaktirati našeg službenika za zaštitu podataka na [email protected]

Prilog 1. VOLUM3 Standardi sigurnosti i privatnosti


Standardi sigurnosti / privatnosti

Uvod

Ovaj bi dokument trebao ukratko izložiti mjere i napore VOLUM3-a da osigura moderne i visoke standarde sigurnosti podataka, privatnosti i dostupnosti usluga za naš SaaS.

Infrastruktura / Hosting

Digitalocean pravni dokumenti

https://www.digitalocean.com/legal/

Digitalocean sigurnost

https://www.digitalocean.com/trust/

Digitalocean privatnost

https://www.digitalocean.com/legal/privacy-policy/

https://www.digitalocean.com/legal/privacy-shield/

Informacije o Digitalocean sukladnosti i certifikatima

https://www.digitalocean.com/legal/certifications/

Upravljanje konfiguracijom

Slijedimo principe nepromjenjive infrastrukture i infrastrukture kao koda.

U slučaju pogreške / neuspjeha, sustav se može obnoviti na temelju svojih predložaka i izvornog koda.

Za našu infrastrukturu koristimo principe chefa i dockera.

Visoka dostupnost / skalabilnost

Digitalocean čini naš sustav osjetljivim na velike opterećenja i automatski će osigurati više resursa ako je to potrebno. Naši korisnici neće biti izloženi smanjenoj izvedbi sustava.

Zaštita od DDOS / web ranjivosti

Naša web aplikacija zaštićena je web proxy sustavom cloudflare (www.cloudflare.com).

Cloudflare DDoS zaštita osigurava web stranice, aplikacije i cijele mreže, istovremeno osiguravajući da performance legitimnog prometa ne budu ugrožene.

Cloudflare ima certifikat ISO 27001 od 2019. godine i certifikat je dostupan na zahtjev.

ISO / IEC 27001: 2013 je općeprihvaćeni certifikat o informacijskoj sigurnosti koji se fokusira na implementaciju Sustava upravljanja informacijskom sigurnošću (ISMS) i procese upravljanja sigurnosnim rizicima.

Razvoj softvera

Implementacija

Naš se sustav temelji na modernoj, robusnoj i dokazano tehnologijom otvorenog koda.

Naša web aplikacija razvijena je programskim jezikom PHP u svojoj najnovijoj stabilnoj verziji (7.4), uključujući Laravel framework (8.9.0) na backend strani i React framework (16.13) na frontend strani.

Sav prijenos podataka vrši se putem HTTPS / TLS-a, a podaci se kriptiraju u rest-u. (U našoj relacijskoj bazi podataka i u našoj memoriji objekata).

Sve slike, planovi i priloženi dokumenta pohranjeni su u izuzetno izdržljivom sustavu za pohranu Digitalocean https://www.digitalocean.com/products/block-storage/

OWASP

U našoj implementaciji slijedimo princip sigurnost dizajnom (security by design)

https://www.owasp.org/index.ph...

Procesi

Zaposlenici

Svi naši zaposlenici, posebno u podršci i inženjeringu, svjesni su privatnosti / sigurnosti podataka i prolaze obuku i SOP za odgovorno postupanje s podacima naših kupaca.

Svi zaposlenici dobivaju samo minimalno potreban pristup našim IT sustavima.

Podaci o kupcima dostupni su samo maloj odabranoj grupi inženjera za podršku i rad.

Upravljanje incidentima

Incidenti u vezi sa sigurnošću i privatnošću prikupljaju se na svim kontaktnim točkama i zatim preusmjeravaju na odgovornu organizacijsku jedinicu. Naši sustavi evidentiranja otkrivaju anomalije u korištenju sustava i po potrebi šalju automatizirane alarme.

Napisali smo postupke za oporavak od katastrofe i sigurnosne kopije.

Pristup

Pristup administrativnim sustavima ograničen je na određene ips i vpns i zaštićen je s tzv 2 factor authentication.

ISO/IEC 27001 Certifikat upravljanja informacijskom sigurnošću

Planiramo dobiti certifikat za razvoj i rad do drugog tromjesečja 2021