Verzija 2026-06-01 · stupa na snagu 1. lipnja 2026.

Ugovor o obradi podataka

Ovaj Ugovor o obradi podataka („DPA" ili „Ugovor") sklapa se između Organizacije registrirane u sustavu Terapeutko („Voditelj obrade") i Terapeutko, operatora platforme https://terapeutko.com („Izvršitelj obrade"), u skladu s člankom 28. Uredbe (EU) 2016/679 (GDPR). Ovaj DPA čini sastavni dio Uvjeta korištenja i primjenjuje se na sve Organizacije koje obrađuju osobne podatke putem Usluge.

1. Stranke Ugovora

Voditelj obrade: Organizacija registrirana u sustavu Terapeutko putem Uvjeta korištenja (terapeutska praksa, ordinacija, centar ili drugi subjekt koji koristi Uslugu).

Izvršitelj obrade: Terapeutko, operator platforme Terapeutko, sa sjedištem: Republika Hrvatska. Kontakt: info@terapeutko.com.

Stranke zajedno označene su kao „Strane". Prihvaćanjem Uvjeta korištenja ili aktivnim korištenjem Usluge, Voditelj obrade potvrđuje prihvaćanje ovog DPA-a u cijelosti.

2. Predmet i trajanje Ugovora

Predmet ovog Ugovora je određivanje uvjeta pod kojima Izvršitelj obrade obrađuje osobne podatke u ime Voditelja obrade pri pružanju cloud SaaS usluge upravljanja terminima, korisničkim kartonima, komunikacijom i pratećim funkcionalnostima (dalje: „Usluga").

Ovaj DPA stupa na snagu istovremeno s Uvjetima korištenja i traje dok god Voditelj obrade koristi Uslugu. Po prestanku Uvjeta korištenja automatski prestaje i ovaj DPA, uz primjenu odredbi o brisanju podataka navedenih u čl. 14. ovog Ugovora.

3. Opis obrade

Izvršitelj obrade obrađuje osobne podatke u sljedeće svrhe i na sljedeće načine:

• Svrha obrade: Pružanje Usluge Voditelju obrade — upravljanje terminima, kartonima korisnika (pacijenata/klijenata), slanje obavijesti (e-mail, SMS gdje je dostupno), generiranje izvještaja, upravljanje listama čekanja, fakturiranje prema krajnjim korisnicima, te sve ostale funkcionalnosti Usluge koje koristi Voditelj obrade.
• Priroda obrade: Prikupljanje, pohrana, organizacija, pretraživanje, prikaz, izmjena, brisanje i prijenos podataka isključivo prema uputama Voditelja obrade kroz korištenje Usluge.
• Vrsta osobnih podataka: Identifikacijski podaci korisnika (ime, prezime, datum rođenja, OIB/identifikacijski broj), kontakt podaci (adresa e-pošte, broj telefona, poštanska adresa), termini i povijest posjeta, napomene i bilješke terapeuta/osoblja, podaci o obavijestima i komunikaciji, podaci o plaćanjima prema korisnicima (u opsegu koji Voditelj obrade unosi), te drugi podaci koje Voditelj obrade unese u sustav.
• Posebne kategorije podataka: Ako Voditelj obrade koristi Uslugu za unos zdravstvenih podataka, dijagnoza, terapijskih zapisa ili drugog sadržaja koji ulazi u posebnu kategoriju osobnih podataka (čl. 9. GDPR), takva obrada odvija se isključivo na inicijativu i odgovornost Voditelja obrade koji jamči da ima valjanu pravnu osnovu za takvu obradu.
• Kategorije subjekata podataka: Krajnji korisnici Organizacije — klijenti, pacijenti, korisnici terapeutskih i srodnih usluga koje pruža Voditelj obrade, te osoblje Voditelja obrade čiji se podaci unose u sustav.
• Trajanje obrade: Za cijelo trajanje ovog DPA-a, uz napomene o brisanju podataka po prestanku iz čl. 14.

4. Upute Voditelja obrade

Izvršitelj obrade obrađuje osobne podatke isključivo prema dokumentiranim uputama Voditelja obrade, a te upute predstavljaju: (a) konfigurirane postavke i funkcionalnosti unutar Usluge koje Voditelj obrade aktivno koristi; (b) specifični pisani zahtjevi dostavljeni Izvršitelju; (c) ovaj DPA i Uvjeti korištenja.

Voditelj obrade izjavljuje i jamči da:

• ima valjanu pravnu osnovu za svaku kategoriju osobnih podataka koje unosi u sustav sukladno GDPR-u i primjenjivom nacionalnom pravu;
• je subjekte podataka (krajnje korisnike) prikladno informirao o obradi i pružatelju IT usluge kao izvršitelju, u skladu s čl. 13. i 14. GDPR-a;
• upute koje daje Izvršitelju nisu protivne GDPR-u niti drugom primjenjivom pravu o zaštiti podataka;
• je odgovoran za procjenu primjerenosti Usluge za vlastite svrhe obrade, uključujući eventualnu obvezu provođenja procjene učinka na zaštitu podataka (DPIA) prema čl. 35. GDPR-a.

Ako Izvršitelj ocijeni da uputa Voditelja obrade krši GDPR ili drugo primjenjivo pravo o zaštiti podataka, dužan je o tome bez odgode obavijestiti Voditelja obrade. U takvom slučaju Izvršitelj može odbiti izvršiti uputu, a takvo odbijanje ne predstavlja povredu ovog Ugovora.

5. Obveze Izvršitelja obrade

Izvršitelj obrade preuzima sljedeće obveze u skladu s čl. 28(3). GDPR-a:

• Obrada prema uputama: Obrađivat će osobne podatke isključivo prema dokumentiranim uputama Voditelja obrade, osim ako to zahtijeva pravo Unije ili države članice koje se primjenjuje na Izvršitelja; u takvom slučaju Izvršitelj će obavijestiti Voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako je to zabranjeno pravom zbog važnih razloga u javnom interesu.
• Povjerljivost: Osigurat će da su osobe ovlaštene za obradu osobnih podataka preuzele obvezu povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti.
• Sigurnost: Poduzet će sve mjere potrebne u skladu s čl. 32. GDPR-a (vidjeti čl. 6. ovog Ugovora).
• Podizvrđači: Poštivat će uvjete iz čl. 7. ovog Ugovora u pogledu angažiranja podizvođača.
• Prava subjekata: Uzimajući u obzir prirodu obrade, pomagat će Voditelju obrade odgovarajućim tehničkim i organizacijskim mjerama, u mjeri u kojoj je to moguće, za ispunjenje obveze Voditelja da odgovara na zahtjeve subjekata podataka (čl. 8. ovog Ugovora).
• Pomoć voditelju: Pomagat će Voditelju obrade u osiguravanju usklađenosti s obvezama prema čl. 32.–36. GDPR-a (sigurnost, izvješćivanje o povredi, DPIA, prethodne konzultacije), uzimajući u obzir informacije dostupne Izvršitelju.
• Brisanje ili povrat: Po izboru Voditelja obrade, izbrisat će ili vratiti sve osobne podatke po završetku pružanja usluga u vezi s obradom, te izbrisati postojeće primjerke osim ako pravo Unije ili države članice zahtijeva pohranjenost osobnih podataka (čl. 14.).
• Informacije za reviziju: Stavit će na raspolaganje Voditelju obrade sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenim u čl. 28. GDPR-a (čl. 9. ovog Ugovora).

6. Sigurnost obrade

Izvršitelj obrade primjenjuje odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka sukladno čl. 32. GDPR-a, uzimajući u obzir stanje tehnike, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava i slobode fizičkih osoba. Mjere uključuju, ali se ne ograničavaju na:

• Pseudonimizacija i kriptiranje: Primjena kriptografske zaštite podataka u prijenosu (TLS/HTTPS) i, gdje je primjenjivo, zaštite podataka u pohrani na odabranim slojevima infrastrukture.
• Povjerljivost, integritet i dostupnost: Tehničke kontrole pristupa, autentifikacijski mehanizmi (uključujući mogućnost višefaktorske autentifikacije), segmentacija okruženja, revizijski zapisi aktivnosti pristupa podacima.
• Oporavak: Mehanizmi sigurnosnog kopiranja podataka i planovi oporavka u razumnom roku u slučaju fizičkih ili tehničkih incidenata.
• Redovito testiranje: Postupci redovite procjene, vrednovanja i ocjene djelotvornosti tehničkih i organizacijskih mjera za osiguranje sigurnosti obrade.
• Upravljanje pristupom: Načelo najmanje privilegije u dodjeli pristupnih prava internom osoblju Izvršitelja; zaposlenici Izvršitelja imaju pristup osobnim podacima Voditelja obrade isključivo u opsegu potrebnom za pružanje Usluge i rješavanje tehničkih zahtjeva.

Izvršitelj ne jamči apsolutnu sigurnost niti isključuje rizik od incidenta uzrokovanog trećim stranama ili višom silom. Voditelj obrade odgovoran je za sigurnost pristupnih podataka (korisničkih imena, lozinki, tokena) vlastite Organizacije i za upravljanje ovlastima korisnika unutar svog računa.

7. Angažiranje podizvođača (pod-izvršitelja obrade)

Voditelj obrade ovim daje opće odobrenje Izvršitelju za angažiranje podizvođača (pod-izvršitelja obrade) za pružanje dijela Usluge, uz sljedeće uvjete:

• Izvršitelj će s pod-izvršiteljima sklopiti ugovor koji nameće iste obveze zaštite podataka kao što su propisane ovim DPA-om, posebno u pogledu pružanja dostatnih jamstava provedbe odgovarajućih tehničkih i organizacijskih mjera.
• Izvršitelj ostaje u potpunosti odgovoran Voditelju obrade za ispunjenje obveza pod-izvršitelja.
• Tekući popis kategorija aktivnih pod-izvršitelja (npr. hosting infrastruktura, e-mail isporuka, SMS gateway, analitika) dostupan je na zahtjev na adresi info@terapeutko.com ili unutar dokumentacije u Usluzi.
• Izvršitelj će o planiranim promjenama (dodavanju ili zamjeni pod-izvršitelja) obavijestiti Voditelja obrade unaprijed (razumnim rokom, a najmanje 30 dana) putem obavijesti u aplikaciji ili e-mailom. Voditelj obrade može u razumnom roku prigovoriti promjeni; ako prigovor nije riješen na zadovoljstvo Voditelja, ima pravo raskinuti DPA i Uvjete korištenja bez kaznenih odredbi za taj raskid.

Trenutačni ključni podizvođači uključuju kategorije pružatelja: cloud hosting i infrastruktura, transakcijska e-pošta, SMS gateway, platni posrednik (gdje je primjenjivo), alati za praćenje grešaka i performansi aplikacije. Svi podizvođači odabiru se s dužnom pažnjom glede usklađenosti s GDPR-om.

8. Prijenos podataka izvan EGP-a

Izvršitelj obrade nastoji obrađivati i pohraniti osobne podatke unutar Europskog gospodarskog prostora (EGP). Gdje je nužno angažirati podizvođače izvan EGP-a (npr. globalne cloud pružatelje infrastrukture), Izvršitelj će osigurati odgovarajuće zaštitne mjere sukladno čl. 46. GDPR-a, što uključuje:

• standardne ugovorne klauzule (SCC) koje je odobrila Europska komisija;
• primjenu odluka o primjerenosti Europske komisije za treće zemlje gdje postoje;
• druge zakonski prihvatljive mehanizme prijenosa.

Na zahtjev Voditelja obrade, Izvršitelj će pružiti dokumentaciju o primijenjenim zaštitnim mjerama za prijenose izvan EGP-a.

9. Povreda osobnih podataka — obavještavanje

U slučaju otkrivanja povrede osobnih podataka (u smislu čl. 4. toč. 12. GDPR-a) koja se tiče osobnih podataka koje Voditelj obrade obrađuje putem Usluge, Izvršitelj će:

• bez nepotrebnog odgađanja, a najkasnije u roku od 72 sata od otkrivanja, obavijestiti Voditelja obrade o povredi putem e-maila na adresu registriranu u sustavu;
• dostaviti (koliko je dostupno u trenutku obavijesti) opis prirode povrede, uključujući kategorije i procijenjeni broj subjekata i zapisa, opis vjerojatnih posljedica povrede te opis poduzetih ili predloženih mjera radi otklanjanja povrede;
• surađivati s Voditeljem obrade u procjeni povrede i, prema mogućnosti, nadopuniti informacije naknadno.

Voditelj obrade odgovoran je za vlastitu procjenu je li povreda takvog karaktera da zahtijeva prijavu nadležnom nadzornom tijelu (AZOP ili drugi nacionalni DPA) u roku od 72 sata od saznanja (čl. 33. GDPR-a) te eventualno obavještavanje subjekata podataka (čl. 34. GDPR-a). Obavijest Izvršitelja o povredi nije sama po sebi potvrda da je došlo do povrede koja zahtijeva prijavu.

10. Pomoć Voditelju obrade i prava subjekata podataka (DSAR)

Izvršitelj će, u mjeri u kojoj je to tehnički i organizacijski moguće, pomoći Voditelju obrade u ispunjenju zahtjeva subjekata podataka sukladno poglavlju III. GDPR-a (pravo na pristup, ispravak, brisanje, ograničenje obrade, prigovor, prenosivost). Ova pomoć uključuje:

• Pružanje dostupnih tehničkih alata unutar Usluge putem kojih Voditelj može izvesti, ispraviti ili obrisati podatke subjekta;
• Na pisani zahtjev Voditelja, poduzimanje specifičnih tehničkih radnji (npr. brisanje svih zapisa određenog korisnika) koje Voditelj ne može provesti samostalno putem sučelja Usluge, u razumnom roku;
• Prosljeđivanje Voditelju svakog zahtjeva subjekta podataka koji Izvršitelj primi izravno, bez izravnog odgovaranja na takve zahtjeve bez odobrenja Voditelja, osim iznimno kada to zahtijeva zakon.

Voditelj obrade odgovoran je za pravovremeno odgovaranje na zahtjeve subjekata podataka u propisanim rokovima (u pravilu 30 dana prema GDPR-u). Izvršitelj ne odgovara za propuštanje rokova koji su prouzrokovani propustom Voditelja da dostavi pravovremene upute.

11. Pomoć Voditelju — ostale obveze usklađenosti

Uzimajući u obzir prirodu obrade i informacije dostupne Izvršitelju, Izvršitelj će pružiti razumnu pomoć Voditelju obrade u ispunjenju sljedećih obveza, u mjeri u kojoj se te obveze odnose na obradu koju Izvršitelj provodi:

• Sigurnost obrade (čl. 32. GDPR): Pružanje informacija o primijenjenim tehničkim i organizacijskim mjerama na pisani zahtjev.
• Procjena učinka (DPIA) (čl. 35. GDPR): Pružanje relevantnih informacija o obradi koje Izvršitelj posjeduje, na pisani zahtjev Voditelja koji provodi DPIA.
• Prethodne konzultacije (čl. 36. GDPR): Suradnja s Voditeljem u svakom savjetovanju s nadzornim tijelom.

12. Brisanje ili povrat podataka po prestanku Usluge

Po prestanku Uvjeta korištenja i ovog DPA-a, bez obzira na razlog prestanka, Izvršitelj postupa na sljedeći način:

• Voditelju obrade bit će omogućen izvoz podataka putem sučelja Usluge ili na pisani zahtjev, u razumnom roku (koji nije kraći od 30 dana od dana prestanka), u strojno čitljivom formatu.
• Po isteku navedenog roka za izvoz, ili ranije na izričit pisani zahtjev Voditelja, Izvršitelj će trajno izbrisati sve osobne podatke Voditelja obrade s produkcijskih sustava, osim ako pravo Unije ili Republike Hrvatske zahtijeva dulje čuvanje određenih podataka.
• Sigurnosne kopije koje sadrže podatke bit će prepisane ili izbrisane unutar uobičajenih ciklusa rotacije sigurnosnih kopija, a najkasnije u roku koji je razumno kratak s obzirom na tehničke uvjete.
• Na pisani zahtjev Voditelja obrade, Izvršitelj će dostaviti pisanu potvrdu o brisanju podataka.

Voditelj obrade dužan je pravovremeno preuzeti podatke koji su mu potrebni. Izvršitelj nije odgovoran za gubitak podataka koji je nastao zbog propusta Voditelja da pravovremeno izvrši izvoz.

13. Revizija i nadzor

Izvršitelj stavlja Voditelju obrade na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama iz čl. 28. GDPR-a. Pravo na reviziju i inspekciju ostvaruje se na sljedeći način:

• Voditelj obrade u prvom redu zahtijeva usklađenost dostavljanjem pisanog upitnika ili zahtjeva za dokumentacijom na adresu info@terapeutko.com.
• Fizička inspekcija prostorija ili sustava Izvršitelja moguća je samo uz prethodnu pisanu suglasnost Izvršitelja, uz razumnu najavu (ne manje od 30 radnih dana), na teret Voditelja obrade, i isključivo u opsegu koji se tiče obrade podataka Voditelja; Izvršitelj može zahtijevati potpisivanje sporazuma o povjerljivosti prije inspekcije.
• Prava na reviziju ne smiju se koristiti na način koji narušava prava i privatnost drugih klijenata Izvršitelja ili koji ugrožava sigurnost sustava.

14. Odgovornost, ograničenje i odnos s Uvjetima korištenja

Odgovornost Strana u vezi s obradom osobnih podataka uređena je ovim DPA-om u kombinaciji s Uvjetima korištenja. U mjeri u kojoj ovaj DPA ne uređuje određeno pitanje, primjenjuju se Uvjeti korištenja, uključujući odredbe o ograničenju odgovornosti i odšteti.

Svaka Strana odgovara za vlastitu povredu GDPR-a ili ovog DPA-a. Izvršitelj nije odgovoran za povrede koje su nastale zbog toga što je Voditelj obrade dao netočne, nepotpune ili nezakonite upute. Izvršitelj nije odgovoran za sadržaj koji Voditelj obrade unosi u sustav niti za zakonitost svrha obrade Voditelja.

Ukupna zbrojna odgovornost Izvršitelja prema Voditelju obrade koja se odnosi isključivo na povredu ovog DPA-a ili GDPR-a ograničena je u skladu s odredbama o ograničenju odgovornosti iz Uvjeta korištenja, osim u slučajevima kada imperativni propis ili pravomoćna odluka nadzornog tijela ili suda zahtijeva drugačije, uz zadržavanje svih zakonski dopuštenih ograničenja.

15. Izmjene DPA-a

Izvršitelj može izmijeniti ovaj DPA u slučaju promjene primjenjivog prava ili smjernica nadzornih tijela o zaštiti podataka, promjene Usluge ili poslovnog modela koja utječe na obradu osobnih podataka, ili iz drugih opravdanih razloga. O bitnim izmjenama Voditelj obrade bit će obaviješten e-mailom ili obavijesti u aplikaciji najmanje 30 dana unaprijed, osim ako je hitnost nužna zbog imperativnog propisa. Nastavak korištenja Usluge nakon stupanja izmjena na snagu smatra se prihvaćanjem izmijenjenog DPA-a. Verzija i datum stupanja na snagu navedeni su na vrhu dokumenta.

16. Kontakt za pitanja zaštite podataka

Za sva pitanja u vezi s ovim DPA-om, obradom osobnih podataka ili pravima subjekata podataka, Voditelj obrade može kontaktirati Izvršitelja putem:

• E-mail: info@terapeutko.com
• Web: https://terapeutko.com

Za zahtjeve subjekata podataka (krajnjih korisnika) koji se Voditelja obrade tiču kao voditelja, Voditelj obrade treba izravno odgovoriti subjektu; ako je za ispunjenje zahtjeva potrebna tehnička radnja od strane Izvršitelja, Voditelj obrade šalje odgovarajući pisani zahtjev na gornju adresu.

Prihvaćanjem Uvjeta korištenja ili aktivnim korištenjem Usluge, Organizacija potvrđuje da je pročitala, razumjela i prihvatila ovaj Ugovor o obradi podataka u cijelosti, te da ima ovlaštenje sklopiti ovaj Ugovor u ime Organizacije kao voditelja obrade.