Preskočite na glavni sadržaj
OpenAI

Updated: 1. prosinca 2025.

Dodatak o obradi podataka društva OpenAI

Preuzimanje PDF-a(otvara se u novom prozoru)

Stupa na snagu: 1. siječnja 2026.

(Pogledajte prethodni dodatak o obradi podataka)

Ovaj Dodatak o obradi podataka OpenAI („DPA”) dopunjuje te je sastavni dio Ugovora o Uslugama OpenAI-a („Ugovor”) koji uređuje korištenje Uslugama te se sklapa s datumom stupanja na snagu između gore navedenog kupca („Kupac”) i društva OpenAI OpCo, LLC, u svoje ime i u ime svojih Povezanih društava, prema potrebi, osim ako je Kupac sa sjedištem u državi Europskog gospodarskog prostora ili u Švicarskoj, u kojem slučaju se ovaj DPA sklapa s društvom OpenAI Ireland Ltd., u svoje ime i u ime svojih Povezanih društava, prema potrebi („OpenAI”). Pojmovi pisani velikim slovima koji nisu definirani u DPA-u imaju značenja navedena u Ugovoru. U ovom DPA-u, OpenAI i Kupac se svaki nazivaju „Stranka” i zajedno „Stranke.” Kupac izjavljuje da je zakonski sposoban sklopiti ovaj Ugovor i, ako sklapa Ugovor u ime pravnog subjekta, da ima zakonsko ovlaštenje obvezati taj pravni subjekt. Klikom na „Slažem se”, prihvaćanjem Narudžbenice ili korištenjem Usluga, Kupac pristaje na ovaj Ugovor.

1. Pojedinosti.

  • 1.1 Opseg i uloge. Prema Ugovoru, kao dio pružanja Usluga Kupcu, OpenAI može obrađivati Podatke kupaca u ime Kupca. OpenAI djeluje kao izvršitelj obrade podataka u ime kupca, a ovaj DPA uređuje takvu obradu.
  • 1.2 Pojedinosti o obradi. OpenAI će Podatke kupaca obrađivati isključivo u svrhu pružanja usluga Kupcu u skladu s Ugovorom i ovim DPA-om. Pojedinosti o prirodi, trajanju, kao i vrstama Podataka kupaca i kategorijama ispitanika koji su uključeni, navedene su u Prilogu 1 (Pojedinosti obrade) ovog DPA-a. OpenAI i Kupac obvezuju se poštivati svoje obveze prema Zakonima o zaštiti podataka u vezi s Uslugama.

2. Obveze OpenAI.

  • 2.1 Upute Kupca. Stranke se slažu da ovaj DPA, Ugovor (uključujući Narudžbenicu) i sve upute dane putem konfiguracijskih alata i drugih alata unutar Usluga koje je OpenAI stavio na raspolaganje u okviru Usluga, predstavljaju dokumentirane upute Kupca u vezi s obradom Podataka kupaca od strane OpenAI-a („Upute Kupca”). OpenAI će obrađivati Podatke kupca isključivo u skladu s Uputama Kupca, osim ako je obvezan činiti drugačije temeljem primjenjivog propisa, u kojem slučaju će OpenAI obavijestiti Kupca o toj obvezi prije obrade, osim ako je zakonski zabranjeno to učiniti.
  • 2.2 Obavijesti za Kupca. OpenAI će odmah pismeno obavijestiti Kupca ako, po mišljenju OpenAI-a, uputa Kupca krši Zakone o zaštiti podataka. OpenAI će, u mjeri u kojoj je to zakonski dopušteno, obavijestiti Kupca ako OpenAI primi pravno obvezujući zahtjev za otkrivanje Podataka kupca od strane tijela za provedbu zakona.
  • 2.3 Povjerljivost. OpenAI će osigurati da sve osobe koje je OpenAI ovlastio za obradu Podataka kupaca budu obvezane na povjerljivost ili podliježu odgovarajućoj zakonskoj obvezi povjerljivosti.
  • 2.4 Zahtjevi ispitanika. OpenAI će, u mjeri dopuštenoj zakonom, obavijestiti Kupca ako OpenAI zaprimi zahtjev za ostvarivanje prava ispitanika sukladno Zakonima o zaštiti podataka (“Zahtjev ispitanika”) u vezi s Podacima kupca.  OpenAI neće odgovoriti na bilo koji takav zahtjev bez prethodnog pismenog odobrenja Kupca, osim u mjeri u kojoj Kupac ovlasti OpenAI da preusmjeri Zahtjeve ispitanika kako bi se omogućilo Kupcu da na njih izravno odgovori. Uzimajući u obzir prirodu obrade, OpenAI će pomoći Kupcu implementiranjem odgovarajućih tehničkih i organizacijskih mjera, u onoj mjeri u kojoj je to moguće, kako bi omogućio Kupcu da odgovori na Zahtjeve ispitanika.
  • 2.5 Sigurnost. OpenAI će implementirati i održavati opravdane i primjerene organizacijske i tehničke sigurnosne mjere za zaštitu Podataka kupaca, kako je navedeno u Ugovoru.
  • 2.6 Pomoć korisniku. OpenAI će, uzimajući u obzir prirodu obrade i informacije koje su mu dostupne, pružiti odgovarajuću pomoć Kupcu radi ispunjavanja njegovih obveza prema Zakonima o zaštiti podataka, uključujući, gdje je to primjereno, pripremu procjena učinka na zaštitu podataka u vezi s OpenAI-eve obrade Podataka kupaca i, prema potrebi, savjetovanje Kupca s nadležnim nadzornim tijekom u vezi s takvom obradom, ako je takvo savjetovanje zahtijevana Zakonima o zaštiti podataka.
  • 2.7 Povrede osobnih podataka. OpenAI će bez neopravdanog odgađanja obavijestiti Kupca čim postane svjestan bilo kakve Povrede osobnih podataka. OpenAI će pružiti odgovarajuću pomoć Kupcu radi ispunjavanja njegovih obveza prema Zakonima o zaštiti podataka te u vezi s takvom Povredom osobnih podataka.
  • 2.8 Procjena usklađenosti. OpenAI će, na opravdan pisani zahtjev Kupca i u mjeri u kojoj to zahtijevaju zakoni o zaštiti podataka: (i) ne više od jednom godišnje, osigurati Kupcu pravila o privatnosti i sigurnosti OpenAI-a i druge informacije potrebne za dokazivanje usklađenosti s obvezama OpenAI-a prema ovomDPA-om; i (ii) pod uvjetom da Stranke imaju odgovarajući ugovor o povjerljivosti, omogućiti i pridonijeti revizijama ili inspekcijama od strane Kupca ili u njegovo ime, isključivo na trošak Kupca.  Takva revizija ili inspekcija mora biti: (A) provedena na način koji minimalno ometa poslovanje društva OpenAI; (B) nužna za potvrdu da OpenAI obrađuje Podatke kupaca na način koji je u skladu s ovim DPA-om; i (C) ne smije se provoditi više od jednom godišnje. Gdje je to dopušteno Zakonima o zaštiti podataka, OpenAI može umjesto toga Kupcu staviti na raspolaganje sažetak revizijskih izvješća relevantnih za usklađenost OpenAI-a s ovim DPA-om. Takvi rezultati i dokumentacija, uključujući rezultate bilo kakvih revizija ili inspekcija, bit će povjerljive informacije tvrtke OpenAI.
  • 2.9 Angažiranje podizvršitelja obrade. Kupac ovime daje opće odobrenje društvu OpenAI za angažiranje podizvršitelja navedenih na Popisu podizvršitelja radi obrade Podataka kupca u vezi s uslugama. OpenAI će obavijestiti Kupca o svim promjenama na Popisu podizvršitelja putem objave na blogu, obavijesti unutar Usluga ili drugim odgovarajućim sredstvima, ili putem e-pošte ako se Kupac pretplati na obavijesti putem e-pošte na web stranici Popisa podizvršitelja. Kupac može prigovoriti uporabi takvog dodatnog podizvršitelja u roku od 30 dana od primitka obavijesti o promjeni, slijedeći upute navedene u Popisu podizvršitelja ili stupanjem u kontakt putem privacy@openai.com. U takvom slučaju, OpenAI će surađivati s Kupcem kako bi riješio njegovu zabrinutost i ponudio komercijalno prihvatljive alternative ili rješenja. Ako nijedna od alternativa ili rješenja nije komercijalno izvediva prema opravdanoj procjeni OpenAI-a, ili ako prigovori nisu riješeni na zadovoljstvo Stranaka unutar 30 dana od primitka obavijesti o prigovoru Kupca od strane OpenAI-a, obje Stranke mogu raskinuti Ugovor ili bilo koju Narudžbenicu ili upotrebu u vezi s Uslugama koje se ne mogu pružiti bez korištenja novog Podizvršitelja. U takvom slučaju, Kupcu će biti vraćene sve primjenjive unaprijed plaćene naknade u mjeri u kojoj pokrivaju razdoblja ili uvjete nakon datuma takvog raskida.
  • 2.10 Obveze Podizvršitelja obrade. OpenAI će sklopiti ugovorne sporazume sa svakim Podizvršiteljem obrade kojima će se Podizvršitelj obvezati na ispunjavanje obveza usporedivih s onima koje prema ovom DPA-u ima OpenAI. U skladu s ograničenjima odgovornosti uključenima u Ugovor, OpenAI će ostati odgovoran za radnje i propuste svojih Podizvršitelja u istoj mjeri u kojoj bi OpenAI bio odgovoran prema ovom DPA-u da je sam izvršio takve radnje ili propuste.
  • 2.11 Povrat podataka ili brisanje. Nakon isteka ili raskida Ugovora, OpenAI će, prema uputama Kupca, vratiti ili izbrisati Podatke kupca i postojeće kopije, osim ako zadržavanje Podataka kupca nije potrebno prema važećim zakonima, u kojem slučaju će OpenAI izolirati i zaštititi te podatke od bilo kakve daljnje obrade, osim u mjeri u kojoj to zahtijevaju važeći zakoni.

3. Obveze kupca.

  • 3.1 Obavijesti i odobrenja. Kupac izjavljuje, jamči i obvezuje se dati potrebne obavijesti te održavati kroz cijelo Razdoblje sva potrebna prava, suglasnosti i odobrenja, u mjeri u kojoj je to potrebno prema Zakonima o zaštiti podataka, za pružanje Podataka kupaca društvu OpenAI te ovlastiti OpenAI za obradu Podtaka kupaca u vezi s Ugovorom, uključujući ovaj DPA.
  • 3.2 Suradnja. Kupac će razumno surađivati s OpenAI-jem kako bi pomogao OpenAI-ju u izvršavanju bilo koje od njegovih obveza prema primjenjivim Zakonima o zaštiti podataka.
  • 3.3 Konfiguracije. Ne dovodeći u pitanje sigurnosne obveze OpenAI-a iz Odjeljka 2.5 ovog DPA-a, Kupac potvrđuje i slaže se da je odgovoran za određene konfiguracije i dizajnerske odluke za Usluge te za provedbu tih konfiguracija i dizajnerskih odluka (npr. razdoblja zadržavanja, brisanje itd.) na način koji je u skladu s važećim Zakonima o zaštiti podataka.

4. Međunarodni prijenosi podataka.

  • 4.1 Podaci iz EGP-a i Švicarske. Podaci kupaca koje obrađuje OpenAI prema ovom DPA-u mogu potpasti pod područje primjene Zakona o zaštiti podataka Europskog gospodarskog prostora ili Švicarske („Podaci iz EGP-a i Švicarske”). Neovisno o tome koje je društvo OpenAI-a ugovorna strana prema ovom DPA-u, Kupac ovime nalaže društvu OpenAI Ireland Limited obradu svih Podataka iz EGP-a i Švicarske u skladu s ovim DPA-om. U mjeri u kojoj OpenAI Ireland ograničeno vrši prijenos podataka iz EGP-a i Švicarske drugim povezanim društvima OpenAI-ja ili trećim stranama izvan Europskog gospodarskog prostora ili Švicarske radi pružanja usluga, to će činiti na temelju ugovora koji sadrže SCC-eve koji osiguravaju odgovarajuće zaštitne mjere za zaštitu Podataka kupaca ili na temelju odluke o primjerenosti koju je izdala Europska komisija prema članku 45. GDPR-a.
  • 4.2 Podaci iz Ujedinjenog Kraljevstva. Podaci kupaca koje obrađuje OpenAI prema ovom DPA-u mogu spadati u područje primjene Zakona o zaštiti podataka Ujedinjenog Kraljevstva („Podaci iz UK-a”). Neovisno o tome koje je OpenAI-evo društvo ugovorna strana prema ovom DPA-u, Kupac ovime nalaže društvu OpenAI OpCo, LLC obradu svih Podataka Ujedinjenog Kraljevstva u skladu s ovim DPA-om i SCC-ovima, kako su izmijenjene Dodatkom za UK, koji se smatraju sklopljenima (i uključenima u ovaj DPA pozivanjem na njih ovdje) te dovršenimana način opisan u Prilogu 1.

5. Daljnji zahtjevi.

U mjeri u kojoj se primjenjuju američki zakoni o privatnosti:

  • 5.1 OpenAI se slaže da (a) neće dati Kupcu novčanu ili drugu vrijednu naknadu u zamjenu za Podatke kupca. Stranke potvrđuju i slažu se da Kupac nije „prodao” (u značenju tog pojma prema zakonima o privatnosti SAD-a) Podatke kupca OpenAI-ju; (b) da neće „prodavati” (u značenju tog pojma prema zakonima o privatnosti SAD-a) ili „dijeliti” (u značenju tog pojma prema CCPA-u) Osobne podatke; (c) u mjeri u kojoj Kupac dopusti ili naloži društvu OpenAI obradu Podataka kupca koji podliježu zakonima o privatnosti SAD-a u deidentificiranom obliku kao dio Usluga, OpenAI će (i) primijeniti razumne mjere kako bi spriječio da se takvi deidentificirani podaci koriste za izvođenje zaključaka o određenoj fizičkoj osobi ili kućanstvu ili povežu s njima na neki drugi način; (ii) javno se obvezati zadržati takve deidentificirane podatke i koristiti se njima samo u tom obliku te da neće pokušavati ponovo identificirati podatke, osim ako je to dopušteno prema zakonima o privatnosti SAD-a; (iii) prije dijeljenja deidentificiranih podataka s bilo kojom drugom stranom, uključujući podizvršitelje, ugovorno obvezati sve takve primatelje da se pridržavaju zahtjeva iz ove odredbe (c)(i)-(iii); (d) kada Podaci kupca podliježu CCPA-u (i) ne zadržavati, koristiti, otkrivati ili na drugi način obrađivati Podatke kupca osim ako je to nužno za poslovne svrhe navedene u Ugovoru, uključujući bez ograničenja one iz Priloga 1 ovog DPA-a; (ii) ne zadržavati, koristiti, otkrivati niti na drugi način obrađivati Podatke kupca izvan izravnog poslovnog odnosa između društva OpenAI i Kupca; (iii) ne kombinirati bilo koje Podatke kupca s Osobnim podacima koje OpenAI prima od ili u ime bilo koje druge treće strane ili prikuplja iz vlastitih interakcija s pojedincima, pod uvjetom da OpenAI smije tako kombinirati Podatke kupca za svrhu dopuštenu prema CCPA-u ako to zatraži Kupac ili je drugačije dopušteno prema CCPA-u; (iv) bez nepotrebnog odgađanja obavijestiti Kupca ako OpenAI utvrdi da više ne može ispunjavati svoje obveze prema CCPA-u; i (v) ako Kupac opravdano smatra da OpenAI-ova obrada Podataka kupca nije u skladu s CCPA-om te o tome pravodobno obavijesti OpenAI, Stranke će u dobroj vjeri surađivati radi otklanjanja problema, a ako nakon toga Kupac opravdano utvrdi da se problem ne može riješiti, OpenAI će prestati obrađivati relevantne Podatke kupca po pisanom nalogu Kupca.
  • 5.2 Kupac se slaže da neće poduzeti nikakve radnje koje bi (a) učinile dodjeljivanje Podataka kupaca društvu OpenAI „prodajom” prema zakonima o privatnosti SAD-a ili „dijeljenjem” prema CCPA-u (ili ekvivalentnim konceptima prema zakonima o privatnosti SAD-a); ili (ii) učiniti da OpenAI ne bude „pružatelj usluga” prema CCPA-u ili „izvršitelj obrade” prema zakonima o privatnosti SAD-a.

6. Definicije.

Podaci kupca” označavaju Osobne podatke koje OpenAI obrađuje u ime Kupca radi pružanja Usluge.

Voditelj obrade” ima značenje dodijeljeno tom pojmu (ili drugom analognom pojmu) prema Zakonima o zaštiti podataka.

Izvršitelj obrade” ima značenje dodijeljeno tom pojmu (ili drugom analognom pojmu) prema Zakonima o zaštiti podataka.

Zakoni o zaštiti podataka” označavaju zakonske propise o privatnosti i zaštiti podataka koji se odnose na OpenAI-ovu obradu Podataka kupaca u vezi s Uslugama. 

Ispitanik” ima značenje koje je tom pojmu (ili drugom analognom pojmu) dodijeljeno u važećim Zakonima o zaštiti podataka.

GDPR” znači Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016.

Osobni podaci” imaju značenje dodijeljeno tom pojmu ili pojmu „osobne informacije” (ili drugom analognom pojmu) prema Zakonima o zaštiti podataka.

Povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa Podacima kupaca koje pohranjuje, prenosi ili na drugi način obrađuje OpenAI, njegovi podizvršitelji ili bilo koje druge treće strane koje djeluju u ime OpenAI-a.

Obrada” ima značenje dodijeljeno tom pojmu (ili drugom analognom pojmu) prema Zakonima o zaštiti podataka.

SCC-ovi” označavaju standardne ugovorne klauzule za prijenos osobnih podataka u treće zemlje koje je usvojila Europska komisija 4. lipnja 2021. (koje se mogu povremeno izmijeniti, ažurirati ili zamijeniti).

Podizvršitelji” označavaju podizvršitelje obrade koje je angažirala tvrtka OpenAI za obradu podataka korisnika u vezi s Uslugama, navedene na Popisu podizvršitelja.

Popis podizvršitelja” znači popis dostupan na sljedećoj adresi https://platform.openai.com/subprocessors(otvara se u novom prozoru).

Dodatak za UK” znači dodatak za UK na SCC-eve EU-a koje je izdao Povjerenik za informiranje prema odjeljku 119A(1) Zakona o zaštiti podataka iz 2018.

Američki zakoni o privatnosti” označavaju podskup Zakona o zaštiti podataka koji se primjenjuju na stanovnike Sjedinjenih Američkih Država, uključujući, bez ograničenja, Kalifornijski zakon o privatnosti potrošača (“CCPA”)

Prilog 1

Detalji obrade

1. Priroda i svrha:

Izvršavanje usluga prema Ugovoru.

2. Trajanje:

Razdoblje i nakon toga vrijeme potrebno za Stranke da ispune svoje primjenjive obveze nakon završetka Razdoblja, uključujući brisanje podataka.

3. Kategorije podataka o korisnicima:

Kupac može osobne podatke predati Uslugama, a kategorije tih podataka ovisit će o korištenju Uslugama koje Kupac određuje i kontrolira prema vlastitom nahođenju. Oni mogu uključivati, ali nisu ograničeni na, imena, kontaktne informacije, demografske podatke ili bilo koje druge informacije koje krajnji korisnici Kupca dostave u nestrukturiranim podacima.

4. Kategorije ispitanika:

Ispitanici mogu uključivati, ali nisu ograničeni na, zaposlenike Kupca, kupce, dobavljače i općenito Krajnje korisnike.

5. Prijenos osjetljivih podataka (ako je primjenjivo):

Prijenos osjetljivih podataka (ako je primjenjivo) i primijenjena ograničenja ili zaštitne mjere koje u potpunosti uzimaju u obzir prirodu podataka i uključene rizike, kao što su, na primjer, strogo ograničenje svrhe, ograničenja pristupa (uključujući pristup samo za osoblje koje je prošlo specijaliziranu obuku), vođenje evidencije o pristupu podacima, ograničenja za daljnje prijenose ili dodatne sigurnosne mjere.

Nije predviđen prijenos osjetljivih podataka osim ako ih korisnik neočekivano uključi u nestrukturirane podatke.

6. Učestalost:

Učestalost prijenosa (npr. je li prijenos podataka jednokratan ili kontinuiran).

Na kontinuiranoj osnovi, ovisno o korištenju Uslugama od strane Kupca.

7. Prijenosi Podizvršiteljima obrade:

Prema članku 2.9 DPA-a, Podizvršitelji će obrađivati Podatke kupca u mjeri nužnoj za izvršavanje Usluga. Takva obrada trajat će za vrijeme trajanja Ugovora, osim ako nije drugačije ugovoreno u pisanom obliku.

8. Informacije o SCC-ovima za prijenos podataka iz Ujedinjenog Kraljevstva prema Odjeljku 4.2:

  • Modul Dva (Voditelj obrade prema Izvršitelju obrade) SCC-a primjenjuje se kada je Kupac Voditelj obrade, a OpenAI obrađuje podatke Kupca kao Izvršitelj obrade. Modul Tri (Izvršitelj obrade prema Podizvršitelju obrade) SCC-a primjenjuje se kada je Kupac Izvršitelj obrade, a OpenAI obrađuje podatke Kupca kao Podizvršitelj obrade.
  • 8.2 Za svaki modul SCC-ova, gdje je primjenjivo, primjenjuje se sljedeće: (i) opcionalna klauzula o priključenju iz Klauzule 7 ne primjenjuje se; (ii) u Klauzuli 9, primjenjuje se Opcija 2 (opće pismeno odobrenje), a minimalno razdoblje prethodne obavijesti o promjenama Podizvršitelja utvrđuje se u Odjeljku 2.9 ovog DPA-a; (iii) u Klauzuli 11, opcionalni se jezik ne primjenjuje; (iv) sve uglate zagrade u Klauzuli 13 ovime se uklanjaju; (v) u Klauzuli 17 (Opcija 1), SCC-ovi će biti regulirani zakoni Engleske i Walesa; (vi) u Klauzuli 18(b) sporovi će se rješavati pred sudovima Engleske i Walesa; (vii) ovaj Prilog 1 sadrži informacije potrebne u Dodatku I i Dodatku III SCC-ova; (viii) odjeljak 2.5 (Sigurnost) DPA-a sadrži informacije potrebne u Dodatku II SCC-ova; (ix) nadležno nadzorno tijelo je Ured povjerenika za informacije (“ICO”).
  • 8.3 Izvoznik podataka: Kupac prema Ugovoru; Uvoznik podataka: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Službenik za zaštitu podataka, privacy@openai.com.

Provedite Ugovor o obradi podataka(otvara se u novom prozoru)