UGOVOR O OBRADI PODATAKA

(Data Processing Addendum — DPA)

Posljednje ažuriranje: 15. travnja 2026.

Verzija: 1.0

1. UVODNE ODREDBE

Ovaj Ugovor o obradi podataka (u daljnjem tekstu: "Ugovor o obradi" ili "DPA") sastavni je dio ugovornog odnosa između:

Izvršitelja obrade:

• AgendumAI, obrt za računalno programiranje
• Meja Gaj 58a, 51226 Hreljin
• OIB: 71969788868
• E-pošta: info@agendumai.com

(u daljnjem tekstu: "Izvršitelj" ili "InvoiceFlow")

i

Voditelja obrade:

• Korisnik koji je registriran za korištenje InvoiceFlow usluge i prihvatio Opće uvjete korištenja

(u daljnjem tekstu: "Voditelj")

Ugovor o obradi sklopljen je sukladno članku 28. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (u daljnjem tekstu: "GDPR" ili "Opća uredba") i Zakonu o provedbi Opće uredbe o zaštiti podataka (NN 42/2018, 79/2023).

Ovaj Ugovor o obradi stupa na snagu danom prihvaćanja Općih uvjeta korištenja od strane Voditelja i vrijedi za cijelo trajanje korištenja Usluge.

2. DEFINICIJE

Pojmovi korišteni u ovom Ugovoru o obradi imaju značenje utvrđeno u GDPR-u, Općim uvjetima korištenja i kako je dolje navedeno:

• Osobni podaci — svaki podatak koji se odnosi na identificiranog ili identificirabilnog pojedinca (ispitanika), sukladno članku 4. stavku 1. GDPR-a.
• Obrada — svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima, bilo automatiziranim bilo neautomatiziranim sredstvima (prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba, izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenje, usklađivanje, kombiniranje, ograničavanje, brisanje ili uništavanje).
• Voditelj obrade — fizička ili pravna osoba koja sama ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (Korisnik InvoiceFlow usluge).
• Izvršitelj obrade — fizička ili pravna osoba koja obrađuje osobne podatke u ime voditelja obrade (AgendumAI / InvoiceFlow).
• Podizvršitelj obrade — treća strana koju Izvršitelj angažira za obradu osobnih podataka u ime Voditelja.
• Povreda osobnih podataka — kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.
• Ispitanik — identificirana ili identificirabilna fizička osoba čiji se osobni podaci obrađuju.
• Usluga — InvoiceFlow web aplikacija i sve povezane funkcionalnosti, kako je opisano u Općim uvjetima korištenja.
• Korisnički podaci — svi podaci koje Voditelj unese, učita ili generira korištenjem Usluge.

3. PREDMET, PRIRODA I SVRHA OBRADE

3.1 Predmet obrade

Izvršitelj obrađuje osobne podatke u ime Voditelja isključivo u svrhu pružanja Usluge, kako je opisano u Općim uvjetima korištenja.

3.2 Priroda obrade

Obrada uključuje: pohranu, bilježenje, strukturiranje, pronalaženje, obavljanje uvida, uporabu, izmjenu, brisanje, prijenos (uključujući prijenos eRačun posrednicima i slanje e-poštom), automatiziranu ekstrakciju podataka iz dokumenata (OCR putem AI sustava) te agregaciju za potrebe izvještavanja.

3.3 Svrha obrade

Obrada se provodi isključivo u svrhu:

• Pružanja InvoiceFlow usluge (upravljanje fakturama, transakcijama, knjiženje)
• Izdavanja i slanja faktura, ponuda i podsjetnika putem e-pošte
• Automatske ekstrakcije podataka iz učitanih dokumenata
• Automatskog prijema i obrade faktura putem e-pošte
• Integracije s eRačun sustavom putem certificiranih informacijskih posrednika
• Sravnjenja bankovnih izvadaka
• Obračuna i pripreme PDV prijave
• Izvještavanja i analize poslovnih podataka
• Tehničke podrške i održavanja sustava

3.4 Trajanje obrade

Obrada traje za vrijeme trajanja ugovornog odnosa između Izvršitelja i Voditelja (trajanje pretplate na InvoiceFlow uslugu), osim ako zakonom nije propisano dulje čuvanje podataka.

4. KATEGORIJE OSOBNIH PODATAKA I ISPITANIKA

4.1 Kategorije osobnih podataka

Izvršitelj obrađuje sljedeće kategorije osobnih podataka u ime Voditelja:

• Identifikacijski podaci: ime i prezime, naziv tvrtke/obrta, OIB
• Kontaktni podaci: adresa e-pošte, telefonski broj, poštanska adresa (ulica, grad, poštanski broj, država)
• Financijski podaci: IBAN, iznosi faktura, stavke faktura, podaci o plaćanjima, salda, podaci iz bankovnih izvadaka
• Poslovni podaci: broj fakture, datumi (izdavanja, dospijeća, isporuke), kategorije troškova, oznake, bilješke
• Porezni podaci: stope PDV-a, raščlamba PDV-a, KPD oznake, podaci o fiskalizaciji
• Podaci iz dokumenata: sadržaj učitanih faktura (PDF/slike) koji može uključivati bilo koje od navedenih kategorija
• Autentifikacijski podaci: adresa e-pošte i kriptirano pohranjena lozinka Ovlaštenih korisnika

4.2 Posebne kategorije osobnih podataka

Izvršitelj ne obrađuje posebne kategorije osobnih podataka u smislu članka 9. GDPR-a (npr. zdravstveni podaci, biometrijski podaci, podaci o rasnom/etničkom podrijetlu). Voditelj se obvezuje ne unositi posebne kategorije osobnih podataka u Uslugu.

4.3 Kategorije ispitanika

Osobni podaci odnose se na sljedeće kategorije ispitanika:

• Kupci Voditelja — fizičke i pravne osobe kojima Voditelj izdaje fakture i ponude
• Dobavljači Voditelja — fizičke i pravne osobe od kojih Voditelj prima fakture
• Ovlašteni korisnici — zaposlenici, suradnici ili druge osobe kojima Voditelj odobri pristup Usluzi
• Kontakt osobe — fizičke osobe navedene kao kontakti u imeniku kupaca/dobavljača
• Druge osobe — bilo koja fizička osoba čiji se osobni podaci nalaze u dokumentima koje Voditelj učita u Uslugu

5. OBVEZE IZVRŠITELJA

5.1 Obrada prema uputama (članak 28. stavak 3. točka (a) GDPR-a)

Izvršitelj obrađuje osobne podatke isključivo prema dokumentiranim uputama Voditelja. Opći uvjeti korištenja, ovaj Ugovor o obradi te korištenje funkcionalnosti Usluge od strane Voditelja čine dokumentirane upute za obradu.

Voditelj može izdati dodatne pisane upute. Izvršitelj neće obrađivati osobne podatke u svrhe koje nisu obuhvaćene uputama Voditelja, osim ako je to propisano pravom Europske unije ili države članice — u tom slučaju Izvršitelj će o tome obavijestiti Voditelja prije obrade, osim ako mu to pravo zabranjuje.

Ako Izvršitelj smatra da uputa Voditelja krši GDPR ili druge propise o zaštiti osobnih podataka, Izvršitelj će o tome bez odgode obavijestiti Voditelja te odbiti izvršiti takvu uputu.

5.2 Povjerljivost (članak 28. stavak 3. točka (b) GDPR-a)

Izvršitelj osigurava da su sve osobe ovlaštene za obradu osobnih podataka preuzele obvezu povjerljivosti ili da su pod odgovarajućom zakonskom obvezom povjerljivosti. Obveza povjerljivosti ostaje na snazi i nakon prestanka ugovornog odnosa.

5.3 Sigurnosne mjere (članak 28. stavak 3. točka (c), članak 32. GDPR-a)

Izvršitelj provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu sigurnosti primjerenu riziku obrade, uzimajući u obzir stanje tehnike, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike različite vjerojatnosti i ozbiljnosti za prava i slobode ispitanika.

Primijenjene mjere opisane su u Prilogu B ovog Ugovora o obradi.

5.4 Pomoć pri ostvarivanju prava ispitanika (članak 28. stavak 3. točka (e) GDPR-a)

Izvršitelj pomaže Voditelju odgovarajućim tehničkim i organizacijskim mjerama u ispunjavanju obveze odgovaranja na zahtjeve ispitanika za ostvarivanje njihovih prava iz Poglavlja III. GDPR-a (pravo na pristup, ispravak, brisanje, ograničenje obrade, prenosivost podataka, prigovor).

Ako Izvršitelj izravno zaprimi zahtjev ispitanika, bez odgode će ga proslijediti Voditelju i neće na njega odgovarati bez prethodne pisane upute Voditelja.

5.5 Pomoć pri sigurnosnim obvezama (članak 28. stavak 3. točka (f) GDPR-a)

Izvršitelj pomaže Voditelju u ispunjavanju obveza iz članaka 32. do 36. GDPR-a, uzimajući u obzir prirodu obrade i informacije kojima Izvršitelj raspolaže, uključujući:

• Sigurnost obrade (članak 32.)
• Prijavu povrede osobnih podataka nadzornom tijelu (članak 33.)
• Obavješćivanje ispitanika o povredi (članak 34.)
• Procjenu učinka na zaštitu podataka — DPIA (članak 35.)
• Prethodno savjetovanje s nadzornim tijelom (članak 36.)

5.6 Obavješćivanje o povredi osobnih podataka

U slučaju saznanja o povredi osobnih podataka, Izvršitelj će o tome obavijestiti Voditelja bez odgode, a najkasnije u roku od 48 sati od saznanja za povredu.

Obavijest mora sadržavati:

• Opis prirode povrede, uključujući, ako je moguće, kategorije i približan broj ispitanika te kategorije i približan broj zapisa osobnih podataka
• Ime i kontaktne podatke osobe zadužene za pružanje dodatnih informacija
• Opis mogućih posljedica povrede
• Opis mjera poduzetih ili predloženih za otklanjanje povrede, uključujući mjere za ublažavanje njezinih mogućih štetnih učinaka

Izvršitelj će bez odgode poduzeti sve razumne mjere za zaštitu osobnih podataka i sprječavanje daljnje štete te će koordinirati daljnje postupke s Voditeljem.

5.7 Brisanje ili povrat podataka (članak 28. stavak 3. točka (g) GDPR-a)

Po prestanku pružanja Usluge, Izvršitelj će, prema izboru Voditelja:

• Vratiti sve osobne podatke Voditelju u strukturiranom, uobičajenom i strojno čitljivom formatu (CSV, JSON, UBL 2.1 XML), ili
• Izbrisati sve osobne podatke i sve postojeće kopije

osim ako pravo Europske unije ili države članice zahtijeva daljnju pohranu osobnih podataka (npr. čuvanje računovodstvenih isprava sukladno Općem poreznom zakonu — rok čuvanja 11 godina).

Izvršitelj će dokumentirati provedeno brisanje i na zahtjev Voditelja dostaviti potvrdu o izvršenom brisanju.

Voditelju je osigurano prijelazno razdoblje od najmanje 30 dana za izvoz podataka, sukladno odredbama Općih uvjeta korištenja (odjeljak 7.3).

5.8 Nadzor i revizija (članak 28. stavak 3. točka (h) GDPR-a)

Izvršitelj Voditelju stavlja na raspolaganje sve informacije potrebne za dokazivanje ispunjavanja obveza iz članka 28. GDPR-a te omogućuje i pridonosi revizijama, uključujući inspekcije, koje provodi Voditelj ili drugi revizor kojeg Voditelj ovlasti.

Revizije se provode:

• Najviše jednom godišnje
• Uz prethodnu pisanu najavu od najmanje 30 dana
• Tijekom redovnog radnog vremena Izvršitelja
• Na način koji ne ometa poslovanje Izvršitelja

Revizor mora predočiti pisano ovlaštenje Voditelja i ne smije biti izravni konkurent Izvršitelja. Rezultati revizije smatraju se povjerljivim informacijama.

Na zahtjev Voditelja, Izvršitelj će dostaviti certifikate o usklađenosti sa sigurnosnim standardima ili drugu dokumentaciju koja razumno dokazuje primjenu tehničkih i organizacijskih mjera.

6. PODIZVRŠITELJI OBRADE

6.1 Opće ovlaštenje

Voditelj ovim Ugovorom o obradi daje Izvršitelju opće pisano ovlaštenje za angažiranje podizvršitelja obrade navedenih u Prilogu C, sukladno članku 28. stavku 2. GDPR-a.

6.2 Obavješćivanje o promjenama

Izvršitelj će obavijestiti Voditelja o namjeravanim promjenama u pogledu dodavanja ili zamjene podizvršitelja najmanje 30 dana prije angažiranja novog podizvršitelja, putem e-pošte ili obavijesti u Aplikaciji.

6.3 Pravo prigovora

Voditelj ima pravo uložiti prigovor na angažiranje novog podizvršitelja u roku od 15 dana od primitka obavijesti. Prigovor se podnosi pisanim putem uz obrazloženje razloga.

Ako Izvršitelj i Voditelj ne uspiju postići obostrano prihvatljivo rješenje u razumnom roku (najdulje 30 dana), Voditelj može raskinuti ugovor sukladno odredbama Općih uvjeta korištenja, bez dodatnih naknada.

6.4 Obveze podizvršitelja

Izvršitelj će s podizvršiteljima sklopiti ugovore koji na podizvršitelje nameću obveze zaštite podataka koje su u biti jednake obvezama iz ovog Ugovora o obradi, sukladno članku 28. stavku 4. GDPR-a.

6.5 Odgovornost za podizvršitelje

Izvršitelj u potpunosti odgovara Voditelju za ispunjenje obveza podizvršitelja iz ovog Ugovora o obradi. Ako podizvršitelj ne ispuni svoje obveze zaštite podataka, Izvršitelj ostaje odgovoran Voditelju za izvršavanje obveza tog podizvršitelja.

6.6 Pomoćne usluge

Pružatelji pomoćnih usluga (poštanske usluge, telekomunikacijski operateri, fizička zaštita) ne smatraju se podizvršiteljima obrade u smislu ovog Ugovora.

7. PRIJENOS PODATAKA U TREĆE ZEMLJE

7.1 Lokacija obrade

Osobni podaci primarno se obrađuju i pohranjuju unutar Europskog gospodarskog prostora (EGP), na serverima u Frankfurtu, Njemačka (AWS eu-central-1, putem Supabase).

7.2 Prijenosi u SAD

Pojedini podizvršitelji obrade imaju sjedište u Sjedinjenim Američkim Državama. Prijenosi osobnih podataka u SAD temelje se na:

• EU-SAD Okviru za privatnost podataka (DPF) — za podizvršitelje koji su DPF certificirani (Vercel, Resend, Sentry), sukladno odluci Europske komisije o primjerenosti
• Standardnim ugovornim klauzulama (SUK) — usvojenim Provedbenom odlukom Komisije (EU) 2021/914 — za podizvršitelje koji nisu DPF certificirani (Anthropic, Inngest)

Detalji o svakom podizvršitelju i primijenjenom mehanizmu prijenosa navedeni su u Prilogu C.

7.3 Dodatne zaštitne mjere

Za sve prijenose u treće zemlje primjenjuju se dodatne tehničke mjere:

• Enkripcija podataka u prijenosu (TLS)
• Enkripcija podataka u mirovanju (AES-256)
• Minimizacija podataka — svakom podizvršitelju prosljeđuju se samo podaci nužni za izvršenje usluge

8. OBVEZE VODITELJA

8.1 Zakonitost obrade

Voditelj jamči da raspolaže odgovarajućim pravnim temeljem za obradu osobnih podataka koje unosi u Uslugu, sukladno članku 6. GDPR-a.

8.2 Informiranje ispitanika

Voditelj je odgovoran za informiranje ispitanika čije osobne podatke obrađuje putem Usluge o obradi njihovih podataka, sukladno člancima 13. i 14. GDPR-a.

8.3 Točnost podataka

Voditelj je odgovoran za točnost, potpunost i ažurnost osobnih podataka koje unosi u Uslugu.

8.4 Posebne kategorije podataka

Voditelj se obvezuje ne unositi posebne kategorije osobnih podataka (članak 9. GDPR-a) u Uslugu.

9. ODGOVORNOST

9.1 Odgovornost stranaka

Svaka stranka odgovara za štetu uzrokovanu obradom koja krši GDPR, sukladno članku 82. GDPR-a.

9.2 Ograničenje odgovornosti

Ograničenja odgovornosti utvrđena u Općim uvjetima korištenja (odjeljak 10.) primjenjuju se i na ovaj Ugovor o obradi, osim ako su u suprotnosti s obveznim odredbama GDPR-a.

10. IZVANREDNI RASKID

Svaka stranka može raskinuti ovaj Ugovor o obradi s trenutnim učinkom ako druga stranka:

• Bitno krši obveze iz ovog Ugovora o obradi i ne otkloni kršenje u roku od 30 dana od pisane obavijesti
• Postupa protivno uputama ili obvezama iz GDPR-a na način koji dovodi u pitanje sigurnost osobnih podataka

11. ZAVRŠNE ODREDBE

11.1 Mjerodavno pravo

Na ovaj Ugovor o obradi primjenjuje se pravo Republike Hrvatske.

11.2 Nadležni sud

Za rješavanje sporova iz ovog Ugovora o obradi nadležan je stvarno nadležni sud u Rijeci.

11.3 Izmjene

Sve izmjene ovog Ugovora o obradi moraju biti u pisanom obliku (uključujući elektronički oblik), sukladno članku 28. stavku 9. GDPR-a. Izvršitelj će obavijestiti Voditelja o izmjenama najmanje 30 dana unaprijed.

11.4 Trajanje

Ovaj Ugovor o obradi vrijedi za cijelo trajanje ugovornog odnosa između Izvršitelja i Voditelja te prestaje na dan prestanka korištenja Usluge, uz iznimku obveza koje po svojoj prirodi nadilaze prestanak ugovora (povjerljivost, brisanje/povrat podataka, odgovornost).

PRILOG A — OPIS OBRADE

PRILOG B — TEHNIČKE I ORGANIZACIJSKE MJERE (članak 32. GDPR-a)

Enkripcija

• Prijenos podataka: sva komunikacija zaštićena TLS enkripcijom (HTTPS)
• Podaci u mirovanju: AES-256 enkripcija na razini infrastrukture (Supabase / AWS), s ključevima generiranim po projektu, zaštićenim FIPS 140-2 kompatibilnim HSM-ovima
• Pristupni podaci za eRačun posrednike: AES-256-GCM enkripcija s HKDF izvedenim ključem jedinstvenim za svaku organizaciju
• Lozinke: pohranjene isključivo u kriptiranom (hash) obliku putem Supabase Auth sustava

Kontrola pristupa

• Izolacija podataka po organizaciji: Row-Level Security (RLS) politike na razini baze podataka osiguravaju pristup isključivo podacima vlastite organizacije
• RPC provjere: sve funkcije u bazi podataka provjeravaju članstvo u organizaciji (verify_org_membership) prije izvršavanja
• Autentifikacija: e-pošta i lozinka ili Google OAuth, s opcionalnom dvofaktorskom autentifikacijom
• Ograničavanje broja zahtjeva: najviše 10 zahtjeva po minuti po organizaciji za osjetljive operacije

Dostupnost i sigurnosne kopije

• Sigurnosne kopije baze podataka (trenutno): Supabase besplatni nivo — 7-dnevni PITR upravljan od strane Supabase, nije korisnički-restorabilan bez nadogradnje na Pro nivo. Manualne pg_dump kopije pohranjuju se 30 dana (skripta scripts/backup.sh). Storage bucket (računi, prilozi) trenutno nije pokriven automatskim sigurnosnim kopijama. Nadogradnja na Supabase Pro nivo + replikacija storage bucketa planirana je prije onboardinga prvog plaćajućeg klijenta (vidi interni audit dokument).
• Sigurnosne kopije kriptirane u prijenosu i mirovanju
• Pohrana sigurnosnih kopija na neovisnom sustavu za pohranu

Mrežna sigurnost

• Vatrozidi i mrežna zaštita upravljani od strane Vercel i Supabase infrastrukture
• Samo odobreni i sigurni načini komunikacije dostupni putem vatrozida

Organizacijske mjere

• Pristup osobnim podacima ograničen na ovlaštene osobe
• Obveza povjerljivosti za sve osobe koje obrađuju osobne podatke
• Redovito ažuriranje programske podrške i sigurnosnih zakrpa
• Revizijski trag bilježi sve značajne korisničke akcije u aplikaciji

Nadzor pogrešaka

• Sentry sustav za nadzor pogrešaka, konfiguriran s sendDefaultPii: false (ne prikuplja osobne podatke korisnika)
• Bez Session Replay funkcionalnosti

PRILOG C — POPIS PODIZVRŠITELJA OBRADE

Napomena: eRačun posrednici angažiraju se samo ako Voditelj aktivira eRačun integraciju i odabere odgovarajućeg posrednika u postavkama Usluge.

Ovaj Ugovor o obradi automatski stupa na snagu prihvaćanjem Općih uvjeta korištenja InvoiceFlow usluge. Nije potreban zasebni potpis.