Data Processing Agreement (DPA)

Ovo je standardni Data Processing Agreement (DPA) kojim Filip Ivanović PR PrimeStay (kao Obrađivač) reguliše obradu ličnih podataka u ime Klijenta (kao Rukovaoca) u kontekstu PrimeStay SaaS Platforme.

Automatski stupa na snagu prihvatanjem PrimeStay Uslova korišćenja za sve Klijente koji u Uslugu unose podatke trećih lica (najčešće gostiju).

Klijent može tražiti potpisanu (eIDAS-kompatibilnu) verziju kontaktom na support@primestay.rs.

Domain: SaaS scenario (Sloj B i C iz Politike privatnosti). Za Managed Service joint controllership vidi Property Management Agreement.

Obrađivač: Filip Ivanović PR PrimeStay, Katanićeva 18, 11000 Beograd, PIB 115504426. Kontakt: support@primestay.rs.

Rukovalac: Klijent koji je registrovao nalog na PrimeStay SaaS Platformi i prihvatio Uslove korišćenja.

Uloga: Klijent = Rukovalac (Controller). PrimeStay = Obrađivač (Processor).

Predmet: Obrada ličnih podataka koje Klijent unese u PrimeStay SaaS Platformu radi izvršavanja Glavnog ugovora.

Trajanje: Trajanje SaaS pretplate Klijenta + 30 dana grace period za eksport + zakonske obaveze čuvanja (knjigovodstvo).

Priroda i svrha: Hostovanje, čuvanje, prikaz, sigurnosno kopiranje, indeksiranje, slanje notifikacija (email, push, in-app), backup, audit log, inkasiranje preko Paddle-a.

Vrste podataka: Identifikatori gostiju (ime, prezime, telefon), beleške, booking metapodaci, identifikatori zaposlenih Klijenta (subusers), vlasnici nekretnina.

Specijalne kategorije: Ne obrađuju se. Klijent je dužan da ne unosi specijalne kategorije podataka u PrimeStay (zdravstveni, biometric, religijski, političko, sindikalno, seksualna orijentacija, krivična evidencija).

PrimeStay obrađuje lične podatke isključivo na osnovu dokumentovanih instrukcija Klijenta. Pristanak Klijenta na ove uslove i konfiguracija koju Klijent radi u SaaS-u predstavljaju Klijentove dokumentovane instrukcije.

PrimeStay će obavestiti Klijenta ako, po njegovom mišljenju, instrukcija krši GDPR ili drugi zakon.

Tehničke mere: TLS 1.2+ (preferred 1.3); backup-i enkriptovani at-rest; bcrypt cost faktor 12; JWT pristup kratko-trajan + refresh rotacija sa reuse-detection; iOS Keychain (kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly, NIJE u iCloud Keychain backup-u) i Android EncryptedSharedPreferences (AES256-GCM, master ključ u Keystore TEE/StrongBox); multi-tenant izolacija na svakom upitu; auth route rate-limiting; lokalni MaxMind GeoLite2-City lookup (IP nikad ne ide do trećeg lica).

Organizacione mere: Need-to-know access; SSH ključevi (bez password log-in-a); AdminAuditLog (append-only, 5-godišnja retencija — automatizovan cron); SecurityAuditLog (per-user sigurnosni eventi, append-only, 5-godišnja retencija); globalni rate-limiting na svim API endpoint-ima (60 req/min default, tighter overrides na auth/billing rute); internal training na privacy basics; dokumentovana incident response procedura.

Hosting: Hetzner Online GmbH (Nemačka, EU) — DPA in place. Backup-i čuvani enkriptovano na istom EU VPS-u.

Klijent daje opštu pisanu saglasnost za korišćenje sub-processor-a iz Aneksa (live lista na primestay.rs/legal/sub-processors).

PrimeStay obaveštava Klijenta najmanje 30 dana pre uvođenja novog sub-processor-a koji obrađuje lične podatke.

Klijent može u tom roku pisano izneti razuman prigovor. Ako prigovor nije razrešen pregovorom u 14 dana, Klijent ima pravo na raskid Glavnog ugovora bez naknade.

PrimeStay zaključuje sa svakim sub-processor-om ugovor sa najmanje istim nivoom zaštite kao u ovom DPA, i ostaje u potpunosti odgovoran Klijentu.

PrimeStay će u razumnoj meri pomoći Klijentu (uzimajući u obzir prirodu obrade i informacije dostupne PrimeStay-u) da odgovori na zahteve subjekata po čl. 15–22 GDPR-a (pristup, ispravka, brisanje, ograničenje, prenosivost, prigovor).

Ako subjekt podataka kontaktira PrimeStay direktno, PrimeStay će potvrditi subjektu da je obrađivač i uputiti ga na Klijenta kao Rukovaoca, bez odlaganja obavestiti Klijenta o zahtevu, i ne odgovarati direktno o sadržaju zahteva osim po izričitoj instrukciji Klijenta.

PrimeStay će obavestiti Klijenta bez nepotrebnog odlaganja, najkasnije u 48 sati od saznanja o povredi koja se tiče ličnih podataka koje obrađujemo u ime Klijenta.

Notifikacija sadrži: prirodu povrede, kategorije i broj pogođenih subjekata, verovatne posledice, mere preduzete ili predložene, kontakt PrimeStay osobe.

PrimeStay sarađuje sa Klijentom u izvršavanju njegovih obaveza prema čl. 33–34 GDPR-a.

Klijent ima pravo da, jednom godišnje uz 30 dana prethodne pisane najave, sprovede audit: preglede pisane dokumentacije, pisane upite, treću revizorsku firmu pod NDA-om.

PrimeStay može trenutno ne posedovati SOC 2 Type II ili ISO 27001 sertifikat — sertifikacija je u planu pre prvog Enterprise klijenta. U međuvremenu, audit prava se izvršavaju kao gore.

Klijent snosi sopstvene troškove audit-a; PrimeStay snosi troškove odgovaranja na razumne audit zahteve.

Određeni sub-processor-i su van EU/EEA. PrimeStay obezbeđuje: Standardne ugovorne klauzule (SCC) Evropske komisije (Implementing Decision 2021/914), ili adequacy decisions (UK).

PrimeStay je sproveo Transfer Impact Assessment (TIA) za svakog sub-processor-a u SAD-u u skladu sa Schrems II zahtevima. Rezultati TIA dostupni su Klijentu na zahtev pod NDA.

DPA stupa na snagu prihvatanjem Glavnog ugovora i traje sve dok PrimeStay obrađuje lične podatke u ime Klijenta.

Po prestanku Glavnog ugovora i isteku 30-dnevnog grace perioda, PrimeStay će vratiti Klijentu sve lične podatke u JSON formatu (na pisani zahtev unutar 30 dana) ili trajno obrisati sve lične podatke (default ako nije zatražen export), osim u meri u kojoj GDPR ili nacionalni zakoni nalažu dalje čuvanje.

Backup-i baze rotiraju se kroz 30 dana. PrimeStay garantuje da se lični podaci iz backup-a ne koriste osim u slučaju operativnog disaster recovery-ja, pre potpunog brisanja.

Ukupna agregatna odgovornost PrimeStay-a po osnovu DPA-a ograničena je na limit predviđen Glavnim ugovorom (12-mesečna provizija).

Ako i Klijent i PrimeStay snose odgovornost za istu štetu, snose je proporcionalno.

Merodavno pravo: Pravo Republike Srbije + GDPR.

Nadležnost: Stvarno nadležan sud u Beogradu.

Konflikt odredbi: U slučaju neusaglašenosti DPA i Glavnog ugovora, primenjuje se DPA u pogledu obrade ličnih podataka.