Ugovor o obradi podataka (DPA)
Poslednje ažuriranje: 2026-07-01
Poslednje ažuriranje stranice Podizvođača obrade: 2026-07-04
Ovaj DPA opisuje uslove pod kojima obrađujemo lične podatke u vaše ime.
Ovaj Ugovor o obradi podataka (Ugovor) opisuje obaveze i uslove prema kojima Petitions.com Group Oy (Pružalac usluga) obrađuje lične podatke u ime autora peticije (Autor peticije ili Kontrolor podataka) prilikom pružanja usluga hostinga online peticija (Usluge).
Izmena Uslova
Zadržavamo pravo da promenimo ili izmenimo ove Uslove u bilo kom trenutku bez prethodnog obaveštenja.
Definicije i Uloge
- Pružalac usluga: Peticije.online (Petitions.com Group Oy), koji deluje kao Obrađivač podataka, obrađuje lične podatke u ime Kontrolora podataka kako bi pružio usluge.
- Rukovalac podacima: Autor peticije, koji određuje svrhe i sredstva obrade ličnih podataka prikupljenih od potpisnika njihove peticije. Kao autor peticije hostovane na Peticije.online, smatrate se Rukovaocem podataka. Vi odlučujete o sadržaju peticije, šta se traži od potpisnika, svrhe obrade njihovih ličnih podataka i o trajanju čuvanja tih ličnih podataka. Peticije.online pruža onlajn platformu za kreiranje i hostovanje peticija, omogućavajući vam ulogu rukovaoca podacima sa autonomijom da oblikujete prikupljanje i korišćenje podataka peticije u skladu sa vašim ciljevima i zakonskim obavezama.
Obim Obrade
The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. Opseg aktivnosti obrade je ograničen na hosting, upravljanje i omogućavanje online peticija.
As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.
The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.
Zaštita podataka
Pružalac usluga se obavezuje da sprovede tehničke i organizacione mere kako bi obezbedio sigurnost ličnih podataka protiv neovlašćenog pristupa, gubitka ili oštećenja.
Zabranjeno prikupljanje podataka
Zabranjeno je tražiti lične identifikacione brojeve (kao što su brojevi ličnih karata) od potpisnika.
Podobrađivači
Pružalac usluga može angažovati podizvođače kako bi pomogao u pružanju usluga. Uslužni Provajder će osigurati da se podizvođači pridržavaju obaveza zaštite podataka koje su u skladu sa ovim DPA. Prihvatate i slažete se da Davalac usluga zadržava diskreciono pravo da izabere i zameni podizvršioce prema potrebi radi pružanja usluga efikasno.
Lista podizvršilaca obrade. (Poslednje ažuriranje: 2026-07-04)
Odgovornosti rukovaoca podacima
Rukovalac podacima odgovoran je za obezbeđivanje da prikupljanje, obrada i rukovanje ličnim podacima budu u skladu sa svim važećim zakonima i propisima.
Identifikacija rukovaoca podacima
Prema Opštoj uredbi o zaštiti podataka (GDPR), neophodno je jasno navesti identitet rukovaoca podacima. Sledeće odredbe su napravljene za autore peticija koji koriste našu web stranicu:
Pojedinačni Autori Peticija
Ako vi, kao pojedinac, kreirate peticiju, od vas se zahteva da navedete svoje puno zakonsko ime. Ovo služi kao vaša identifikacija kao rukovalac podacima za potrebe GDPR-a.
Organizacioni Autori Peticija
Ako je peticija kreirana u ime organizacije, mora se navesti pun pravni naziv organizacije. Pored toga, organizacija treba da imenuje i obezbedi kontakt podatke predstavnika odgovornog za aktivnosti obrade podataka, kao što je Službenik za zaštitu podataka (DPO) ili slično.
Prava lica na koje se podaci odnose
Rukovalac podacima mora osigurati da lica na koja se podaci odnose (potpisnici peticije) mogu ostvariti svoja prava propisana GDPR-om, kao što su pravo na pristup, ispravku ili brisanje njihovih podataka, ili podnošenje žalbe nadzornom organu.
Postupanje po zahtevima potpisnika za brisanje podataka lica na koje se podaci odnose
The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.
Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.
When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.
The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.
Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.
Tehnički logovi mogu sadržati lične podatke, kao što su IP adrese ili metapodaci o isporuci e-pošte. These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.
The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.
Handling Rectification Requests from Signatories
The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.
Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.
The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.
Notifying Recipients
Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.
Odgovornost i usklađenost
Kontrolor podataka mora biti u stanju da pokaže usklađenost sa GDPR, uključujući odgovaranje na zahteve lica na koja se podaci odnose u vezi sa njihovim ličnim podacima.
Politika privatnosti ili Obaveštenje
Mora se obezbediti jasna i dostupna politika privatnosti ili obaveštenje, u kojima se objašnjava kako se lični podaci obrađuju, svrhe obrade, i kako subjekti podataka mogu ostvariti svoja prava.
Obaveštenje o izmenama
Autori peticija su dužni da obaveste Peticije.online (Petitions.com Group Oy) o bilo kakvim promenama u njihovom statusu kao rukovalaca podacima ili u kontakt podacima njihovog predstavnika.
Godišnji pregled obrade podataka
Autor peticije je dužan da sprovodi godišnji pregled kako bi utvrdio da li još uvek postoji valjan razlog za nastavak obrade ličnih podataka potpisnika. Ovaj pregled treba da proceni neophodnost i relevantnost podataka u odnosu na svrhu peticije. Ako Autor Peticije utvrdi da više ne postoji valjan razlog za nastavak obrade podataka, mora preduzeti odgovarajuće korake kako bi prekinuo obradu i pokrenuo brisanje podataka u skladu sa važećim zakonima o zaštiti podataka.
Use of Up-to-Date Signature Data
Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.
Čuvanje i brisanje podataka
Ukoliko Rukovalac podacima (autor peticije) prekrši bilo koji uslov iz Ugovora o obradi podataka (DPA), uključujući, ali ne ograničavajući se na, neuspeh u sprovođenju godišnjeg pregleda aktivnosti obrade podataka ili pružanje validnog opravdanja za stalnu obradu ličnih podataka potpisnika, Pružalac usluga zadržava pravo da ukloni ili obriše lične podatke povezane sa njihovom peticijom.
Ograničenje odgovornosti
Ni u kom slučaju ukupna odgovornost obrađivača podataka prema rukovaocu podataka za sve štete, gubitke i uzroke delovanja, bilo po osnovu ugovora, delikta (uključujući nepažnju) ili na drugi način, neće premašiti ukupni iznos koji je rukovalac podataka platio obrađivaču podataka prema ovom ugovoru.
Primjenjiv zakon
Ovaj Ugovor biće uređen zakonima Finske.