Preskočite na glavni sadržaj
OpenAI

Updated: 1. decembar 2025.

OpenAI Dodatak o obradi podataka

Preuzmite PDF(otvara se u novom prozoru)

Na snazi od: 1. januara 2026.

(Pogledajte prethodni dodatak o obradi podataka)

Ovaj OpenAI Dodatak o obradi podataka („DPA”) dopunjuje i uključuje se u OpenAI Ugovor o pružanju usluga („Ugovor”) koji uređuje korištenje Usluga i sklapa se na Datum stupanja na snagu između gore navedenog Kupca („Kupac”) i OpenAI OpCo, LLC, u svoje ime i u ime svojih povezanih društava, prema potrebi, osim ako je Kupac smješten u zemlji Evropskog ekonomskog prostora ili Švicarskoj, u kojem slučaju se sklapa s OpenAI Ireland Ltd., u svoje ime i u ime svojih povezanih društava, prema potrebi („OpenAI”). Termini napisani velikim slovom koji nisu definisani u DPA imaju značenje navedeno u Ugovoru. U ovom DPA-u, OpenAI i Klijent se svaki nazivaju „Stranka” i zajedno kao „Stranke.” Klijent izjavljuje da je zakonski sposoban zaključiti ovaj Ugovor i, ako zaključuje Ugovor u ime pravnog lica, da ima zakonsko ovlaštenje da obaveže to pravno lice. Klikom na „Slažem se”, prihvatanjem Narudžbenice ili korištenjem Usluga, Klijent se slaže s ovim Ugovorom.

1. Detalji.

  • 1.1 Opseg i uloge. Kao dio pružanja Usluga Korisniku prema Ugovoru, OpenAI može obrađivati Korisničke podatke u ime Korisnika. OpenAI djeluje kao Obrađivač podataka u ime Korisnika, a ovaj DPA upravlja takvom obradom.
  • 1.2 Detalji obrade. OpenAI će obrađivati Korisničke podatke isključivo u svrhu pružanja Usluga Korisniku u skladu s Ugovorom i ovim Dodatkom o obradi podataka (DPA). Detalji o prirodi, trajanju, kao i vrstama Korisničkih podataka i kategorijama subjekata podataka koji su uključeni, navedeni su u Prilogu 1 (Detalji obrade) ovog DPA. OpenAI i Korisnik se slažu da će se pridržavati svojih obaveza prema zakonima o zaštiti podataka u vezi s uslugama.

2. Obaveze OpenAI-ja.

  • 2.1 Uputstva za Korisnika. Stranke se slažu da ovaj DPA, Ugovor (uključujući formular za narudžbe) i sve upute date putem alata za konfiguraciju i drugih alata unutar Usluga koje je OpenAI učinio dostupnim unutar Usluga, predstavljaju dokumentovane instrukcije Kupca u vezi s obradom Podataka o kupcu od strane OpenAI-a (“Instrukcije kupca”). OpenAI će obrađivati Korisničke podatke samo u skladu s Uputama Korisnika, osim ako to nije potrebno prema važećem zakonu kojem OpenAI podliježe, u kojem slučaju će OpenAI obavijestiti Korisnika o ovom zahtjevu prije obrade, osim ako to nije zakonski zabranjeno.
  • 2.2 Obavijesti za Kupca. OpenAI će odmah pismeno obavijestiti Korisnika ako, po mišljenju OpenAI-a, instrukcija Korisnika prekrši zakone o zaštiti podataka. OpenAI će, u mjeri u kojoj je to zakonski dozvoljeno, obavijestiti Korisnika ako OpenAI primi pravno obavezujući zahtjev za otkrivanje podataka Korisnika od strane organa za provođenje zakona.
  • 2.3 Povjerljivost. OpenAI će osigurati da sve osobe koje je OpenAI ovlastio za obradu korisničkih podataka budu obavezane na povjerljivost ili da su pod odgovarajućom zakonskom obavezom povjerljivosti.
  • 2.4 Zahtjevi subjekata podataka. OpenAI će, u mjeri u kojoj je to zakonski dozvoljeno, obavijestiti Korisnika ako OpenAI primi zahtjev za ostvarivanje prava subjekta podataka prema Zakonima o zaštiti podataka (“Zahtjev subjekta podataka”) u vezi s Korisničkim podacima.  OpenAI neće odgovoriti na bilo koji takav zahtjev bez prethodne pismene autorizacije Korisnika, osim što Korisnik ovlašćuje OpenAI da preusmjeriti zahtjeve subjekata podataka kako bi omogućio Korisniku da odgovori direktno. Uzimajući u obzir prirodu obrade, OpenAI će pomoći Korisniku implementiranjem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, kako bi omogućio Korisniku da odgovori na Zahtjeve Subjekata Podataka.
  • 2.5 Sigurnost. OpenAI će implementirati i održavati razumne i odgovarajuće organizacijske i tehničke sigurnosne mjere za zaštitu Korisničkih podataka, kako je navedeno u Ugovoru.
  • 2.6 Pomoć korisnicima. OpenAI će, uzimajući u obzir prirodu obrade i informacije dostupne OpenAI-u, pružiti razumnu pomoć Korisniku kako bi pomogao Korisniku da ispuni svoje obaveze prema Zakonima o zaštiti podataka, uključujući, gdje je to primjereno, pripremu procjena uticaja na zaštitu podataka u vezi s obradom podataka Korisnika od strane OpenAI-a i, gdje je to potrebno, konsultacije Korisnika sa nadzornim tijelom koje ima nadležnost nad takvom obradom, ako takve konsultacije zahtijevaju Zakoni o zaštiti podataka.
  • 2.7 Kršenja ličnih podataka. OpenAI će obavijestiti Kupca bez nepotrebnog odlaganja nakon što postane svjestan bilo kakvog kršenja ličnih podataka. OpenAI će pružiti razumnu pomoć Korisniku kako bi pomogao Korisniku da ispuni svoje obaveze prema zakonima o zaštiti podataka u vezi s takvim kršenjem ličnih podataka.
  • 2.8 Procjena usklađenosti. OpenAI će, na razuman pismeni zahtjev Korisnika i u mjeri u kojoj to zahtijevaju Zakoni o zaštiti podataka: (i) ne više od jednom godišnje, dostaviti Korisniku politike privatnosti i sigurnosti OpenAI-a i druge informacije potrebne za dokazivanje usklađenosti s obavezama OpenAI-a prema ovom DPA-u; i (ii) pod uslovom da Strane imaju odgovarajući ugovor o povjerljivosti, omogućiti i doprinijeti revizijama ili inspekcijama od strane Korisnika ili u njegovo ime, isključivo o trošku Korisnika.  Takva revizija ili inspekcija mora biti: (A) provedena na način koji minimalno remeti Business OpenAI-a; (B) neophodna za potvrdu da OpenAI obrađuje korisničke podatke na način koji je u skladu s ovim DPA; i (C) ne smije se provoditi više od jednom godišnje. Gdje je to dopušteno zakonima o zaštiti podataka, OpenAI može umjesto toga staviti na raspolaganje korisniku sažetak izvještaja o reviziji relevantnih za usklađenost OpenAI-ja s ovim DPA-om. Takvi rezultati i dokumentacija, uključujući rezultate bilo kakvih revizija ili inspekcija, bit će povjerljive informacije OpenAI-a.
  • 2.9 Angažovanje podprocesora. Korisnik ovime daje opću autorizaciju OpenAI-ju da angažuje podizvršioce navedene na listi podizvršilaca za obradu korisničkih podataka u vezi sa uslugama. OpenAI će obavijestiti Korisnika o svim promjenama na Listi podobrađivača putem objave na blogu, obavještenja unutar Usluga ili na druge razumne načine, ili putem e-pošte ako se Korisnik pretplati na obavještenja putem e-pošte na web stranici Liste podobrađivača. Korisnik može prigovoriti korištenju takvog dodatnog podizvršioca u roku od 30 dana od primanja obavijesti o promjeni slijedeći upute navedene u Listi podizvršilaca ili kontaktiranjem na privacy@openai.com. U takvom slučaju, OpenAI će raditi s Korisnikom kako bi riješio njegove zabrinutosti i ponudio komercijalno razumne alternative ili rješenja. Ako nijedna od alternativa ili rješenja nije komercijalno izvediva, prema razumnoj procjeni OpenAI-a, ili ako prigovori nisu riješeni na zadovoljstvo Strana u roku od 30 dana od prijema obavještenja o prigovoru Korisnika od strane OpenAI-a, tada bilo koja Strana može raskinuti Ugovor ili bilo koje Narudžbenice ili korištenje u vezi s Uslugama koje se ne mogu pružiti bez korištenja novog Podobrađivača. U takvom slučaju, Korisniku će biti vraćene sve primjenjive unaprijed plaćene naknade u mjeri u kojoj pokrivaju periode ili uvjete nakon datuma takvog raskida.
  • 2.10 Obaveze podprocesora. OpenAI će sklopiti ugovorne aranžmane sa svakim podobrađivačem koji im nameću obaveze uporedive s onima koje su nametnute OpenAI-u prema ovom DPA-u. U skladu s ograničenjima odgovornosti uključenim u Ugovor, OpenAI će ostati odgovoran za radnje i propuste svojih podobrađivača u istoj mjeri u kojoj bi OpenAI bio odgovoran prema ovom DPA-u ako bi sam izvršio takve radnje ili propuste.
  • 2.11 Povrat ili brisanje podataka. Nakon isteka ili raskida Ugovora, OpenAI će, prema uputama Korisnika, vratiti ili izbrisati Korisničke podatke i postojeće kopije, osim ako zadržavanje Korisničkih podataka nije potrebno prema važećim zakonima, u kojem slučaju će OpenAI izolirati i zaštititi te podatke od bilo kakve daljnje obrade, osim u mjeri u kojoj to zahtijevaju važeći zakoni.

3. Obaveze kupca.

  • 3.1 Obavijesti i autorizacije. Korisnik izjavljuje, garantuje i obavezuje se da je dao sve potrebne obavijesti, te da ima i da će održavati tokom trajanja Ugovora sva potrebna prava, saglasnosti i autorizacije, u mjeri u kojoj je to potrebno prema zakonima o zaštiti podataka, za pružanje Korisničkih podataka OpenAI-u i za ovlašćivanje OpenAI-a da obrađuje Korisničke podatke u vezi s Ugovorom, uključujući ovaj DPA.
  • 3,2 Saradnja. Korisnik treba razumno sarađivati s OpenAI-em kako bi pomogao OpenAI-ju u izvršavanju bilo koje od njegovih obaveza prema primjenjivim zakonima o zaštiti podataka.
  • 3.3 Konfiguracije. Bez prejudiciranja sigurnosnih obaveza OpenAI-a iz Odjeljka 2.5 ovog DPA-a, Korisnik potvrđuje i slaže se da je odgovoran za određene konfiguracije i dizajnerske odluke za Usluge te za implementaciju tih konfiguracija i dizajnerskih odluka (npr. periodi zadržavanja, brisanje, itd.) na način koji je u skladu s važećim zakonima o zaštiti podataka.

4. Međunarodni prijenosi podataka.

  • 4.1 Podaci EEA i Švicarske. Korisnički podaci koje obrađuje OpenAI prema ovom DPA-u mogu spadati u okvir Zakona o zaštiti podataka Evropskog ekonomskog prostora ili Švicarske („EEA i Swiss podaci”). Bez obzira na to koja je ugovorna strana OpenAI-a primjenjiva prema ovom DPA-u, Korisnik ovim upućuje OpenAI Ireland ograničeno da obrađuje sve podatke iz EGP-a i Švicarske u skladu s ovim DPA-om. U mjeri u kojoj OpenAI Ireland ograničeno prenosi podatke iz EEA i Švicarske drugim OpenAI povezanim društvima ili trećim stranama izvan Evropskog ekonomskog prostora ili Švicarske radi pružanja Usluga, to će činiti na osnovu sporazuma koji sadrže Standardne ugovorne klauzule (SCC) koje osiguravaju odgovarajuće mjere zaštite za zaštitu Korisničkih podataka ili na osnovu odluke o adekvatnosti koju je izdala Evropska komisija prema članu 45 GDPR-a.
  • 4.2 UK Data. Korisnički podaci koje obrađuje OpenAI prema ovom DPA-u mogu spadati u okvir Zakona o zaštiti podataka Ujedinjenog Kraljevstva („UK Podaci”). Bez obzira na to koja je primjenjiva ugovorna strana OpenAI-a prema ovom DPA, Korisnik ovim upućuje OpenAI OpCo, LLC da obrađuje sve podatke iz Ujedinjenog Kraljevstva u skladu s ovim DPA i sa SCC-ovima izmijenjenim britanskim Dodatkom, koji se smatraju zaključenim (i uključenim u ovaj DPA ovim pozivanjem) i dovršenim kako je opisano u Prilogu 1.

5. Dodatni zahtjevi.

U mjeri u kojoj se primjenjuju američki zakoni o privatnosti:

  • 5.1 OpenAI se slaže da (a) neće Korisniku pružiti novčanu ili drugu vrijednu naknadu u zamjenu za Korisničke podatke od Korisnika. Strane priznaju i slažu se da Kupac nije „prodao“ (kako je taj pojam definisan američkim zakonima o privatnosti) Podatke o kupcu OpenAI-ju; (b) ne „prodaje“ (kako je taj pojam definisan američkim zakonima o privatnosti) ili „dijeli“ (kako je taj pojam definisan CCPA-om) Lične podatke; (c) u mjeri u kojoj Kupac dozvoljava ili upućuje OpenAI da obrađuje Podatke o kupcu podložne američkim zakonima o privatnosti u deidentifikovanom obliku kao dio Usluga, OpenAI će (i) usvojiti razumne mjere kako bi spriječio da se takvi deidentifikovani podaci koriste za zaključivanje informacija o, ili na drugi način povezivanje s, određenom fizičkom osobom ili domaćinstvom; (ii) javno se obavezati da će održavati i koristiti takve deidentifikovane podatke u tom obliku i neće pokušavati ponovo identifikovati informacije, osim ako to nije dozvoljeno američkim zakonima o privatnosti; i (iii) prije dijeljenja deidentifikovanih podataka s bilo kojom drugom stranom, uključujući Podprocesore, ugovorno obavezati sve takve primaoce da se pridržavaju zahtjeva ove odredbe (c)(i)-(iii); i (d) gdje su Podaci o kupcu podložni CCPA-u (i) ne zadržavati, koristiti, otkrivati ili na drugi način obrađivati Podatke o kupcu osim ako je to neophodno za Business svrhe navedene u Ugovoru, uključujući bez ograničenja kako je navedeno u Prilogu 1 ovog DPA; (ii) ne zadržavati, koristiti, otkrivati ili na drugi način obrađivati Podatke o kupcu na bilo koji način izvan direktnog poslovnog odnosa između OpenAI-ja i Kupca; (iii) ne kombinovati bilo koje Podatke o kupcu s Ličnim podacima koje OpenAI prima od ili u ime bilo koje druge treće strane ili prikuplja iz vlastitih interakcija OpenAI-ja s pojedincima, pod uslovom da OpenAI može tako kombinovati Podatke o kupcu za svrhu dozvoljenu prema CCPA-u ako to zatraži Kupac ili kako je drugačije dozvoljeno CCPA-om; (iv) obavijestiti Kupca bez nepotrebnog odlaganja ako OpenAI utvrdi da više ne može ispunjavati svoje obaveze prema CCPA-u; i (v) ako Kupac razumno vjeruje da OpenAI-jeva obrada Podataka o kupcu nije u skladu sa zahtjevima CCPA-a i nakon što Kupac razumno obavijesti OpenAI o istom, Strane će zajedno raditi u dobroj vjeri kako bi riješile problem, ili, ako nakon zajedničkog rada Kupac razumno utvrdi da se problem ne može riješiti, OpenAI će prestati s obradom pogođenih Podataka o kupcu po pisanoj instrukciji Kupca.
  • 5.2 Korisnik se slaže da neće poduzeti nikakve radnje koje bi (a) učinile dodjeljivanje Korisničkih podataka OpenAI-u „prodajom“ prema zakonima o privatnosti SAD-a ili „dijeljenjem“ prema CCPA (ili ekvivalentnim konceptima prema zakonima o privatnosti SAD-a); ili (ii) učinile da OpenAI nije „pružalac usluga“ prema CCPA ili „obrađivač“ prema zakonima o privatnosti SAD-a.

6. Definicije.

Korisnički podaci” označavaju lične podatke koje OpenAI obrađuje u ime korisnika radi pružanja usluga

Kontrolor podataka” ima značenje dodijeljeno terminu „kontrolor” (ili neki drugi sličan termin) prema Zakonima o zaštiti podataka

Obrađivač podataka” ima značenje dodijeljeno terminu “obrađivač” (ili neki drugi analogni termin) prema Zakonima o zaštiti podataka

Zakoni o zaštiti podataka” znače zakone o privatnosti i zaštiti podataka koji se primjenjuju na OpenAI-jevu obradu Korisničkih podataka u vezi s Uslugama. 

Subjekt podataka” ima značenje koje je dodijeljeno terminu „subjekt podataka” (ili drugom sličnom terminu) prema zakonima o zaštiti podataka

GDPR” znači Uredba (EU) 2016/679 Evropskog parlamenta i Vijeća od 27. aprila 2016

Lični podaci” ima značenje dodijeljeno terminu „lični podaci“ ili „lične informacije“ (ili neki drugi sličan termin) prema zakonima o zaštiti podataka

Povreda ličnih podataka” znači povredu sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa Korisničkim podacima koje pohranjuje, prenosi ili na drugi način obrađuje OpenAI, njegovi podobrađivači ili bilo koje druge treće strane koje djeluju u ime OpenAI-a

Obrada” ima značenje dodijeljeno terminu „obrada” (ili drugom sličnom terminu) prema Zakonima o zaštiti podataka

SCCs” znači standardne ugovorne klauzule za prenošenje ličnih podataka u treće zemlje koje je usvojila Evropska komisija 4. juna 2021. (koje se mogu mijenjati, ažurirati ili zamjenjivati s vremena na vrijeme)

Podobrađivači” označavaju podobrađivače koje je OpenAI angažovao za obradu korisničkih podataka u vezi sa Uslugama, navedene na Listi podobrađivača

Lista podobrađivača” označava listu dostupnu na sljedećoj adresi https://platform.openai.com/subprocessors(otvara se u novom prozoru).

UK Addendum” znači UK dodatak EU SCC-ovima koji je izdao Povjerenik za informacije prema članu 119A(1) Zakona o zaštiti podataka iz 2018

Zakoni o privatnosti SAD-a” označavaju podskup Zakona o zaštiti podataka koji se primjenjuju na stanovnike Sjedinjenih Američkih Država, uključujući, bez ograničenja, Kalifornijski zakon o privatnosti potrošača (“CCPA”)

Raspored 1

Detalji obrade

1. Priroda i svrha:

Izvršenje usluga prema Ugovoru.

2. Trajanje:

Period i vrijeme potrebno nakon toga za Strane da ispune svoje primjenjive obaveze nakon završetka Perioda, uključujući brisanje podataka.

3. Kategorije podataka o kupcima:

Korisnik može poslati lične podatke Uslugama, čije će kategorije zavisiti od korištenja Usluga koje određuje i kontroliše Korisnik po vlastitom nahođenju, ali mogu uključivati, ali nisu ograničene na imena, kontakt informacije, demografske informacije ili bilo koje druge informacije koje su pružili Krajnji korisnici Korisnika u nestrukturiranim podacima.

4. Kategorije subjekata podataka:

Subjekti podataka mogu uključivati, ali nisu ograničeno na zaposlenike Korisnika, kupce, dobavljače i općenito Krajnje korisnike.

5. Prenesenih osjetljivih podataka (ako je primjenjivo):

Preneseni osjetljivi podaci (ako je primjenjivo) i primijenjena ograničenja ili zaštitne mjere koje u potpunosti uzimaju u obzir prirodu podataka i uključene rizike, kao što su, na primjer, strogo ograničenje svrhe, ograničenja pristupa (uključujući pristup samo za osoblje koje je završilo specijalizovanu obuku), vođenje evidencije o pristupu podacima, ograničenja za buduće prenose ili dodatne sigurnosne mjere.

Nije predviđeno da se osjetljivi podaci prenijeti osim ako ih korisnik neočekivano uključi u nestrukturirane podatke.

6. Učestalost:

Učestalost prijenosa (npr. da li se podaci prenijeti jednokratno ili kontinuirano).

Kontinuirana osnova ovisno o korištenju Usluga od strane Korisnika.

7. Prenosi na Podobrađivače:

Prema članu 2.9 DPA-a, podobrađivači će obrađivati Korisničke podatke kako je potrebno za izvršavanje Usluga. Takva obrada će trajati za vrijeme trajanja Ugovora, osim ako nije drugačije dogovoreno pismenim putem.

8. Informacije o prenijeti UK podataka prema odjeljku 4.2:

  • 8.1 Modul dva (Kontrolor prema Obrađivaču) standardnih ugovornih klauzula primjenjuje se kada je Kupac Kontrolor podataka, a OpenAI obrađuje Korisničke podatke kao Obrađivač podataka. Modul tri (Od obrađivača do podobrađivača) Standardnih ugovornih odredbi primjenjuje se kada je Korisnik obrađivač podataka, a OpenAI obrađuje podatke Korisnika kao podobrađivač.
  • 8.2 Za svaki modul SCC-ova, gdje je primjenjivo, primjenjuje se sljedeće: (i) Opcionalna klauzula o spajanju u Klauzuli 7 se ne primjenjuje; (ii) U Klauzuli 9, primjenjuje se Opcija 2 (opća pismena autorizacija), a minimalni vremenski period za prethodnu obavijest o promjenama podobrađivača bit će onakav kakav je naveden u Odjeljku 2.9 DPA; (iii) U Klauzuli 11, neobavezna formulacija se ne primjenjuje; (iv) Ovim se uklanjaju sve uglaste zagrade u Klauzuli 13; (v) U Klauzuli 17 (Opcija 1), SCC-ovi će biti regulirani zakonima Engleske i Velsa; (vi) U Klauzuli 18(b), sporovi će se rješavati pred sudovima Engleske i Velsa; (vii) Ovaj Prilog 1 sadrži informacije koje se zahtijevaju u Aneksu I i Aneksu III SCC-ova; (viii) Odjeljak 2.5 (Sigurnost) DPA sadrži informacije potrebne u Aneksu II SCC-ova, (ix) nadležni nadzorni organ je Ured povjerenika za informacije („ICO”).
  • 8.3 Izvoznik(i) podataka: Kupac prema Ugovoru; Uvoznik(i) podataka: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Službenik za zaštitu podataka, privacy@openai.com.

Izvršavanje Ugovora o obradi podataka(otvara se u novom prozoru)