Pravni dokument
Sporazum o obradi podataka
Data Processing Agreement (DPA)
Poslednje ažuriranje: 24. maja 2026.
Ovaj Sporazum o obradi podataka sklapa se između mozgich d.o.o. kao obrađivača i Korisnika platforme kao rukovaoca ličnim podacima krajnjih kupaca. Sporazum je u skladu sa čl. 44 Zakona o zaštiti podataka o ličnosti RS (ZZPL) i čl. 28 GDPR-a i automatski stupa na snagu registracijom naloga.
1. Stranke sporazuma
mozgich d.o.o.
Bulevar Mihajla Pupina 10b, 11070 Novi Beograd
PIB: 113456789
DPO: dpo@emozgich.com
Korisnik platforme
Registrovani poslovni subjekt koji koristi platformu Mozgich za vođenje ecommerce prodavnice.
Podaci uneseni pri registraciji
2. Predmet i svrha obrade
Mozgich kao obrađivač obrađuje lične podatke krajnjih kupaca isključivo u ime i po instrukcijama Rukovaoca, u sledećim svrhama:
- •Upravljanje porudžbinama i istorijom kupovine
- •Upravljanje korisničkim nalozima i autentifikacijom
- •Fiskalizacija i izdavanje računa
- •Upravljanje dostavom i praćenje pošiljki
- •Loyalty program i segmentacija kupaca (CRM)
- •Transakcioni e-mail (potvrde narudžbina, notifikacije o dostavi)
- •Analitika prodavnice u korist Rukovaoca
3. Kategorije ličnih podataka
| Kategorija | Podaci | Posebna kategorija? |
|---|---|---|
| Identifikacioni | Ime, prezime, korisničko ime | Ne |
| Kontakt | E-mail, telefon, adresa isporuke | Ne |
| Transakcioni | Porudžbine, stavke, iznosi, metod plaćanja | Ne |
| Finansijski | Potvrda plaćanja, fiskalni račun (bez br. kartice) | Ne |
| Tehnički | IP adresa, tip uređaja, kolačići sesije | Ne |
| Ponašajni | Istorija pregleda, wishlist, loyalty poeni | Ne |
Mozgich ne obrađuje posebne kategorije ličnih podataka (čl. 17 ZZPL) u ime Rukovaoca osim ako Rukovalac posebno ne naloži i obezbedi odgovarajući pravni osnov.
4. Obaveze obrađivača (Mozgich)
Mozgich se obavezuje da:
- •Obrađuje lične podatke isključivo po dokumentovanim instrukcijama Rukovaoca, osim u slučaju zakonske obaveze
- •Osigura poverljivost — svi zaposleni koji imaju pristup podacima potpisali su ugovor o poverljivosti
- •Primeni odgovarajuće tehničke i organizacione mere bezbednosti (čl. 50 ZZPL)
- •Ne angažuje podprocesore bez prethodne pisane dozvole Rukovaoca — ova Politika sačinjava generalnu dozvolu za podprocesore navedene u tački 6
- •Pomaže Rukovaocu u ispunjavanju zahteva lica čiji se podaci obrađuju (zahtevi za pristup, ispravku, brisanje) u roku od 5 radnih dana
- •Obavesti Rukovaoca o povredi bezbednosti podataka bez odlaganja, a najkasnije u roku od 48 sati od saznanja
- •Po raskidu ugovora, po izboru Rukovaoca, vrati ili trajno uniši sve lične podatke u roku od 90 dana
- •Čuva potrebnu dokumentaciju o obradi (registar aktivnosti obrade) u skladu sa čl. 48 ZZPL
- •Omogući revizije i inspekcije Rukovaoca, uz razumno pisano obaveštenje od 10 radnih dana
5. Obaveze rukovaoca (Korisnik)
Korisnik kao Rukovalac se obavezuje da:
- •Ima odgovarajući pravni osnov za obradu ličnih podataka krajnjih kupaca (ugovor, saglasnost, legitimni interes)
- •Informiše krajnje kupce o obradi podataka putem sopstvene politike privatnosti
- •Daje Mozgich-u instruksije koje su u skladu sa važećim propisima
- •Odmah obavesti Mozgich o svim zahtevima Poverenika ili organa vlasti koji se tiču obrađenih podataka
6. Odobreni podprocesori
Korisnik odobrava angažovanje sledećih podprocesora za obradu ličnih podataka krajnjih kupaca:
| Podprocesor | Svrha | Lokacija | Garancije |
|---|---|---|---|
| Vercel Inc. | Hosting i CDN | SAD | SCCs |
| Neon Inc. | PostgreSQL baza podataka | EU (Frankfurt) | SCCs / GDPR |
| Clerk Inc. | Autentifikacija kupaca | SAD | SCCs |
| Upstash Inc. | Redis keš, rate limiting | EU (Frankfurt) | SCCs / GDPR |
| Resend Inc. | Transakcioni e-mail | SAD | SCCs |
| Sentry Inc. | Monitoring grešaka | SAD | SCCs |
| AKS / BEX / Post | Dostava pošiljki | Srbija | ZZPL |
Mozgich će obavestiti Rukovaoca o nameravnoj izmeni liste podprocesora 30 dana unapred, uz pravo Rukovaoca da uloži prigovor.
7. Međunarodni prenos podataka
Prenos ličnih podataka van teritorije Srbije vrši se isključivo u skladu sa čl. 64–72 ZZPL-a, uz primenu Standardnih ugovornih klauzula (SCCs) Komisije EU 2021/914, za sve podprocesore van EU/EEA i Srbije.
8. Bezbednosne mere
Enkripcija u prenosu
TLS 1.3 za sve konekcije između klijenta, servera i baze podataka
Enkripcija u mirovanju
AES-256 na nivou baze podataka; env varijable šifrovane na Vercel-u
Pristup podacima
Princip najmanjih privilegija; pristup produkcionim podacima odobrava CTO
Audit logovi
Sve administrativne akcije beleže se u immutable audit log sa retencijom 12 meseci
Backup
Automatski backup baze podataka svakih 24h, čuva se 7 dana (Neon PITR)
Testiranje
Penetracijski testovi najmanje jednom godišnje; izvještaj dostupan na zahtev
9. Procedure u slučaju povrede
48h
Obaveštenje Rukovaoca
72h
Prijava Povereniku
ASAP
Obaveštenje lica
Obaveštenje o povredi sadrži: opis prirode povrede, kategorije i procenjeni broj pogođenih lica, moguće posledice i preduzete ili planirane mere.
10. Trajanje i raskid
Ovaj DPA važi za period trajanja ugovora o korišćenju Platforme. Po raskidu ugovora, Mozgich će po instrukcijama Rukovaoca u roku od 90 dana ili vratiti sve lične podatke u mašinski čitljivom formatu, ili ih trajno obrisati i dostaviti pisanu potvrdu brisanja.
11. Kontakt DPO
Lice za zaštitu podataka — mozgich d.o.o.
Za DPA zahteve i revizije. Odgovaramo u roku od 5 radnih dana.