DODATEK O OBDELAVI IN VAROVANJU OSEBNIH PODATKOV
(v nadaljevanju: »DPA«)
1 Uvodno
1.1 Naročnik bo SKOZAR za zagotavljanje storitev po pogodbi o naročilu digitalnih storitev v obdelavo posredoval osebne podatke svojih strank oz. tretjih oseb (v nadaljevanju: »osebni podatki«).
1.2 Stranki soglašata, da:
1.2.1 je v zvezi z obdelavo osebnih podatkov na podlagi pogodbe o naročilu digitalnih storitev SKOZAR obdelovalec osebnih podatkov, naročnik pa je upravljavec osebnih podatkov. Obdelava osebnih podatkov v primerih, kjer SKOZAR nastopa kot upravljavec osebnih podatkov (t.j. obdelava osebnih podatkov za namen zagotovitve dostopa do storitev), je urejena v politiki zasebnosti DocuWise (dostopno na: https://docuwise.eu/privacy-policy) in ni predmet tega DPA.
1.2.2 SKOZAR zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na način, da obdelava izpolnjuje zahteve veljavnih predpisov s področja varstva osebnih podatkov in zagotavlja varstvo pravic posameznikov, na katere se nanašajo osebni podatki.
1.3 Stranki sprejmeta ta DPA, da opredelita pravice in obveznosti v zvezi z obdelavo podatkov, ki jo bo SKOZAR zagotavljal za naročnika v obsegu in pod pogoji, določenimi v DPA.
2 Predmet DPA
2.1 Vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov ter kategorije posameznikov, na katere se nanašajo osebni podatki so opredeljeni v Tabeli 1 spodaj.
3 Namen obdelave
3.1 Naročnik določa namene obdelave osebnih podatkov s strani SKOZAR.
3.2 SKOZAR bo osebne podatke, prejete s strani naročnika, obdeloval zgolj za namen izvajanja storitev, v obsegu in na način, kot sta določena v DPA.
3.3 SKOZAR sme osebne podatke obdelovati za drug namen le, če tako določajo veljavni predpisi.
4 Obveznosti SKOZAR
4.1 SKOZAR se zavezuje, da bo:
4.1.1 osebne podatke obdeloval samo po dokumentiranih navodilih naročnika,
4.1.2 sprejel vse ukrepe v skladu s členom 6 in 7 DPA;
4.1.3 ob upoštevanju narave obdelave pomagal naročniku z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
4.1.4 naročniku pomagal pri izpolnjevanju obveznosti v zvezi z varnostjo osebnih podatkov ob upoštevanju narave obdelave in informacij, ki so dostopne SKOZAR;
4.1.5 v skladu z odločitvijo naročnika izbrisal ali vrnil vse osebne podatke naročniku po zaključku storitev v zvezi z obdelavo ter uničil obstoječe kopije, razen če veljavni predpisi zahtevajo hrambo osebnih podatkov;
4.1.6 dal naročniku na voljo vse informacije, potrebne za dokazovanje izpolnjevanja svojih obveznosti s področja varstva osebnih podatkov, ter naročniku ali drugemu revizorju, ki ga pooblasti naročnilk, omogoči izvajanje revizij in pregledov, ter bo pri njih sodeloval;
4.1.7 v zvezi s točko 4.1.6, nemudoma obvestil naročnika, če po njegovem mnenju navodilo krši predpise s področja varstva osebnih podatkov (v izogib dvomu, SKOZAR ne prevzema odgovornosti za siceršnje obveznosti in skladnost poslovanja naročnika kot upravljavca).
5 Obveznosti naročnika
5.1 Naročnik je odgovoren za ustrezno pravno podlago za pridobivanje in obdelavo osebnih podatkov, ki jih posreduje SKOZAR.
5.2 Naročnik se zavezuje, da bo SKOZAR obveščal o posebnostih in morebitnih znanih tveganjih glede zagotavljanja pravic posameznikom, katerih osebni podatki se obdelujejo.
6 Varnost obdelave
6.1 Stranki se zavezujeta, da bosta:
6.1.1 sodelovali pri zagotavljanju ustreznih organizacijskih in tehničnih ukrepov za varovanje osebnih podatkov in odpravljanju ali zmanjševanju tveganj povezanih z varnostjo osebnih podatkov.
6.1.2 pri izvajanju DPA ves čas zagotavljali ustrezno varovanje osebnih podatkov, ne glede na to na kakšen način se bosta seznanili z osebnimi podatki.
6.2 SKOZAR se zavezuje, da bo storitve izvajal skladno s predpisi s področja varstva osebnih podatkov in bo:
6.2.1 s prejetimi osebnimi podatki ravnal skrbno in bo zagotavljal ustrezne organizacijske in tehnične varnostne ukrepe za varno pridobivanje, obdelavo in pošiljanje osebnih podatkov;
6.2.2 zagotovil, da bodo pri njem pooblačene osebe za obdelavo osebnih podatkov, ki so predmet DPA, ves čas obdelovanja podatkov in tudi po prenehanju obdelovanja, zavezane k varovanju zaupnosti podatkov;
6.2.3 zagotavljal spremljanje varnosti osebnih podatkov in v primeru ugotovljenih razlogov za povečano tveganje ali v primeru kršitve o tem takoj obvestil naročnika in izvedel vse potrebne ukrepe za odpravo ali zmanjšanje škode in nastalih tveganj na najmanjšo možno mero;
6.2.4 v primeru nastanka kršitve varnosti osebnih podatkov (npr. uničenje podatkov, vdor v informacijski sistem ali v prostore, nepooblaščen dostop, itd.) o tem nemudoma obvestil naročnika ter izvedel vse možne ukrepe za prenehanje kršitve in odpravo škodljivih posledic.
7 Ukrepi za varovanje
7.1 SKOZAR se zavezuje varnost obdelave zagotoviti tako, da se:
7.1.1 varujejo prostori v katerih se nahajajo nosilci osebnih podatkov, oprema in sistemska programska oprema, vključno z vhodno-izhodnimi enotami, tako da se onemogoči dostop nepooblaščenim osebam do osebnih podatkov (npr. z ustreznim zaklepanjem);
7.1.2 varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki, predvsem z uporabo gesel za dostop s strani pooblačenih oseb;
7.1.3 zagotavlja zanesljiv in učinkovit način hrambe podatkov ter uničenja in izbrisa osebnih podatkov po navodilu naročnika;
7.1.4 pri prenosu osebnih podatkov zagotavlja varnost obdelave, zlasti z uporabo kriptografskih metod;
7.1.5 pri obdelavi osebnih podatkov s temi seznanijo le s strani SKOZAR pooblačene osebe, ki dostop potrebujejo za izvajanje pogodbeno dogovorjenih nalog SKOZAR;
7.1.6 zagotavlja postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti varnostnih ukrepov.
8 Dodatni obdelovalci
8.1 Naročnik soglaša, da SKOZAR v obdelavo osebnih podatkov vključi obdelovalce, navedene v Tabeli 2 spodaj.
8.2 Naročnik SKOZAR podeljuje splošno dovoljenje za vključitev drugih obdelovalcev oz. njihovo spremembo. SKOZAR bo naročnika obvestil o vseh nameravanih spremembah glede vključitve dodatnih obdelovalcev ali njihove zamenjave.
8.3 Podobdelovalca vežejo enake dolžnosti varstva osebnih podatkov kot obdelovalca, o čemer ga je SKOZAR dolžan seznaniti.
9 Prenos podatkov v tretje države
9.1 Naročnik SKOZAR dovoljuje prenos osebnih podatkov obdelovalcem, ki se nahajajo zunaj EU območja (»tretje države«), pod pogojem, da taki prenosi ustrezajo Standardnim pogodbenim klavzulam, ki jih je sprejela Evropska komisija, ali drugim mehanizmom, ki zagotavljajo ustrezno raven varstva podatkov.
9.2 V primeru prenosa osebnih podatkov v tretje države bo SKOZAR zagotovil potrebne varnostne ukrepe in skladnost prenosa z veljavnimi predpisi.
10 Omejitev odgovornosti
10.1 SKOZAR v zvezi z obdelavo osebnih podatkov ne prevzema nobene odgovornosti v razmerju do kogarkoli drugega razen naročnika.
10.2 SKOZAR je odgovoren le za neposredno škodo, ki je bila povzročena naročniku s strani SKOZAR med izvajanjem obveznosti po DPA, in pod pogojem, da je bila škoda povzročena zaradi hude malomarnosti ali namenoma. Odgovornost za posredno škodo ali drugo škodo (na primer posredna škoda vključujoč izgubo dobička, izgubo prihranka ali škodo ali kot posledica izgube podatkov), kot tudi za škodo, povzročeno s strani tretjih oseb, je izrecno izključena.
11 Veljavno pravo in pristojnost
11.1 Veljavno pravo. Za ta DPA se uporablja slovensko pravo.
11.2 Reševanje sporov. Če stranki katerega koli spora iz ali v zvezi s tem DPA ne bi mogli rešiti sporazumno, je za reševanje sporov pristojno sodišče v Ljubljani.
12 Končne določbe
12.1 Ta DPA začne veljati in velja za čas trajanja pogodbe o naročilu digitalnih storitev.
TABELA 1
| Vsebina obdelave | Beleženje, shranjevanje, posredovanje in druga obdelava, potrebna za zagotavljanje storitev, t.j. za shranjevanje in generiranje dokumentov. |
| Trajanje obdelave | Čas zagotavljanja storitev naročniku, razen če veljavni predpisi zahtevajo hrambo osebnih podatkov. |
| Namen obdelave | Zagotavljanje storitev. |
| Vrsta osebnih podatkov | Identifikacijskih podatki, ki jih naročnik vpiše v sistem za generiranje dokumentov (npr. ime in priimek, naslov, davčna številka, EMŠO, datum rojstva itd.). |
| Kategorije posameznikov, na katere se nanašajo osebni podatki | Stranke in pogodbeni partnerji naročnika oz. osebe, katerih podatke naročnik vnese v sistem za generacijo dokumentov. |
TABELA 2: Dodatni obdelovalci
| Obdelovalec | Lokacija | Storitve |
| zerodays, razvoj celostnih programskih rešitev, d.o.o. | Ljubljana, Slovenija | Programske in tehnične podporne storitve, razvoj programske opreme, vzdrževanje, odpravljanje težav itd. |
| Amazon Web Services EMEA SARL, German Branch | Frankfurt, Nemčija | Storitve shranjevanja |
| Supabase, Inc., a Delaware | Frankfurt, Nemčija | Storitve shranjevanja, storitve avtentikacije, sistem upravljanja z bazami podatkov |
| Vercel Inc. | Frankfurt, Nemčija | Gostovanje |
| Render Inc. | Frankfurt, NemčijaSan Francisco, ZDA | Gostovanje |