Pogodba o obdelavi osebnih podatkov
Pogodba o obdelavi osebnih podatkov
(v nadaljevanju: Pogodba)
1. člen (namen Pogodbe)
(1) MEETPOINT informacijske rešitve d.o.o., Xxxxxxxxxx xxxxx 00, 0000 Xxxxxxxxx, matična številka: 6977049000 (v nadaljevanju: Obdelovalec) in Organizator Dogodka (v nadaljevanju: Upravljavec) sta na podlagi Splošnih pogojev uporabe rešitve v oblaku Meetpoint za Organizatorje (v nadaljevanju: Splošni pogoji) vstopila v pogodbeno razmerje, v okviru katerega Upravljavec naroča dostop do Rešitve in njeno uporabo, Obdelovalec pa Upravljavcu omogoča dostop do Rešitve in njeno uporabo, vse na način in v obsegu kot je to določeno v Splošnih pogojih.
(2) S to Pogodbo pogodbeni stranki urejata pogodbeno obdelavo osebnih podatkov ter pravice in obveznosti, kot jih določajo veljavni predpisi na področju varstva osebnih podatkov.
(3) Upravljavec zagotavlja, da razpolaga z zakonito podlago za obdelavo vseh osebnih podatkov na podlagi te Pogodbe.
(4) Ta Pogodba je sestavni in neločljivi del Splošnih pogojev. V primeru neskladja med določili te Pogodbe in določili Splošnih pogojev (vključno z njihovimi prilogami in drugimi dokumenti, na katere se Splošni pogoji sklicujejo), veljajo ustrezna določila te Pogodbe.
(5) Izrazi »upravljavec«, »obdelovalec«, »posameznik«, »osebni podatki« in »obdelava«, ki se uporabljajo v tej Pogodbi, imajo smiselno enak pomen kot je zanje določen z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov.
(6) Vsi izrazi, ki se v tej Pogodbi uporabljajo z veliko začetnico, imajo pomen, kot je zanje določen v tej Pogodbi ali Splošnih pogojih.
2. člen (predmet Pogodbe)
(1) Upravljavec s sklenitvijo te Pogodbe in v okviru izvajanja Splošnih pogojev Obdelovalca pooblašča, da v imenu Upravljavca opravlja v Splošnih pogojih opredeljena opravila v zvezi z obdelavo posameznih vrst osebnih podatkov in za posamezne kategorije posameznikov, ki so primeroma našteti v Prilogi št. 1 k tej Pogodbi (Vrste osebnih podatkov in kategorije posameznikov), Upravljavec pa jih natančno opredeli v okviru vsakega posameznega Dogodka.
3. člen
(namen in zakonita podlaga pogodbene obdelave)
(1) Pogodbeni stranki se dogovorita, da se osebni podatki na podlagi te Pogodbe obdelujejo izključno za namen:
• organizacije in izvedbe Dogodkov,
• prijave Udeležencev na Dogodke,
• obdelave plačil Xxxxxxxxx,
• zagotovitve udeležbe Udeležencev na Dogodkih,
• drugih dejanj, potrebnih za organizacijo in izvedbo Dogodkov.
(2) Upravljavec zagotavlja, da razpolaga z ustrezno zakonito podlago za obdelavo osebnih podatkov.
(3) Upravljavec ima in bo imel ves čas veljavnosti te Pogodbe vlogo upravljavca osebnih podatkov skladno z veljavnimi predpisi in je dolžan zagotoviti skladnost svojega ravnanja z določbami veljavnih predpisov, ki določajo obveznosti upravljavcev osebnih podatkov. Zlasti je tudi dolžan zagotoviti, da ima za pogodbeno obdelavo ustrezno zakonito podlago in da ima s tem v zvezi urejena vsa razmerja s posamezniki, na katere se osebni podatki nanašajo.
(4) Obdelovalec ima in bo imel ves čas veljavnosti te Pogodbe vlogo obdelovalca skladno z veljavnimi predpisi in je dolžan zagotoviti skladnost svojega ravnanja z določbami veljavnih predpisov, ki določajo obveznosti obdelovalcev osebnih podatkov. Zlasti je tudi dolžan zagotoviti, da bo s prejetimi osebnimi podatki ravnal v skladu z določili veljavnih predpisov s
področja varstva osebnih podatkov, da osebnih podatkov v nobenem primeru ne bo uporabil za drugačen namen, kot je namen, določen v tem členu, ter da osebnih podatkov ne bo razkril nobeni tretji osebi, če ni s to Pogodbo ali Splošnimi pogoji za posamezni primer izrecno določeno drugače.
4. člen (navodila)
(1) Obdelovalec lahko osebne podatke obdeluje izključno na podlagi pisnih navodil Upravljavca (v nadaljevanju: Navodila). Če Upravljavec Xxxxxxxxxxx v posameznem primeru poda ustno navodilo, ga Obdelovalec ni dolžan upoštevati, dokler ga Upravljavec ne potrdi v pisni obliki.
(2) Obdelovalec ne potrebuje Navodil Upravljavca v primeru, ko je dolžan posamezno obdelavo osebnih podatkov izvesti na podlagi veljavnih predpisov. V tem primeru je dolžan Obdelovalec pred obdelavo osebnih podatkov pisno obvestiti Upravljavca o svojih obveznostih na podlagi veljavnih predpisov, razen če veljavni predpisi izrecno določajo, da takšno obvestilo ni dovoljeno iz razlogov pomembnega javnega interesa.
(3) Obdelovalec je dolžan nemudoma obvestiti Upravljavca, če po njegovem mnenju Navodilo krši katerokoli določbo veljavnih predpisov s področja varstva osebnih podatkov in takega Navodila ni dolžan upoštevati, če mu Upravljavec nesporno ne izkaže, da Navodilo ne krši določbe veljavnih predpisov s področja varstva osebnih podatkov.
(4) Obdelovalec ima pravico zavrniti posamezno Navodilo Upravljavca, če oceni, da je Navodilo očitno neutemeljeno ali pretirano (zlasti v primeru ponavljajočih Navodil) ali bi mu povzročilo nesorazmerne stroške. Če bi upoštevanje Navodil Obdelovalcu povzročilo dodatne stroške, ima Obdelovalec pravico Upravljavcu takšne stroške zaračunati v skladu s svojim vsakokrat veljavnim cenikom.
5. člen (varovanje zaupnosti)
(1) Obdelovalec zagotavlja, da so vsi njegovi zaposleni in morebitne druge osebe, ki na njegovi strani obdelujejo osebne podatke na podlagi te Pogodbe (npr. zunanji sodelavci, pogodbeni partnerji), zavezani k varovanju zaupnosti osebnih podatkov.
6. člen
(tehnični in organizacijski ukrepi za zagotovitev varnosti osebnih podatkov)
(1) Pogodbeni stranki se s sklenitvijo te Pogodbe zavezujeta, da zagotavljata ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti osebnih podatkov kot so določeni z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov.
(2) Obdelovalec je vzpostavil in zagotavlja ustrezne tehnične in organizacijske ukrepe z namenom zavarovanja osebnih podatkov pred nenamernim ali nezakonitim uničenjem, izgubo, spremembo, nepooblaščenim razkritjem ali dostopom do osebnih podatkov. V okviru izvajanja Splošnih pogojev in te Pogodbe Obdelovalec, z namenom zagotovitve ustrezne ravni varnosti glede na tveganje, zagotavlja tehnične in organizacijske ukrepe, vse ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Tehnični in organizacijski ukrepi Obdelovalca so opisani v Prilogi št. 2 k tej Pogodbi (Tehnični in organizacijski ukrepi).
(3) Upravljavec ima pravico pri Obdelovalcu ves čas nadzorovati izvajanje ukrepov iz prejšnjega odstavka tega člena.
7. člen (podobdelovalci)
(1) Obdelovalec lahko po predhodnem soglasju Upravljavca posamezna opravila v zvezi z obdelavo osebnih podatkov poveri nadaljnjemu obdelovalcu (v nadaljevanju: Podobdelovalec). Pogodbeni stranki sta sporazumni, da daje Upravljavec Xxxxxxxxxxx s sklenitvijo te Pogodbe splošno pisno dovoljenje za imenovanje podobdelovalcev. Obdelovalec bo Upravljavca obvestil o vseh nameravanih spremembah glede zaposlitve dodatnih Podobdelovalcev ali njihove zamenjave.
(2) S sklenitvijo te Pogodbe Upravljavec daje Obdelovalcu posebno soglasje za imenovanje podobdelovalcev, ki so določeni v Prilogi št. 3 k tej Pogodbi (Podobdelovalci).
8. člen (pravice posameznikov)
(1) Obdelovalec je dolžan, ob upoštevanju narave obdelave, pomagati Upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznikov.
(2) Če se posameznik, na katerega se nanašajo osebni podatki, s svojo zahtevo za dostop do osebnih podatkov, zahtevo za popravek ali izbris osebnih podatkov ali zahtevo v zvezi z omejitvijo obdelave, obrne neposredno na Obdelovalca, je dolžan Obdelovalec takšno zahtevo takoj posredovati Upravljavcu. Obdelovalec je dolžan v zvezi z obravnavanjem zahtev ravnati v skladu z Navodili Upravljavca.
9. člen
(nudenje podpore upravljavcu)
(1) Obdelovalec je dolžan Upravljavcu pomagati pri izpolnjevanju naslednjih obveznosti, in sicer ob upoštevanju narave obdelave in informacij, ki so dostopne Obdelovalcu:
• pri izvajanju ustreznih tehničnih in organizacijskih ukrepov za zagotovitev ustrezne ravni varnosti glede na tveganje;
• pri obveščanju pristojnega nadzornega organa v primeru kršitve varstva osebnih podatkov;
• pri obveščanju posameznikov v primeru kršitve varstva osebnih podatkov;
• pri izvedbi ocene učinka predvidenih dejanj obdelave na varstvo osebnih podatkov, v primerih, ko je izvedba ocene učinka v skladu z veljavnimi predpisi potrebna;
• pri posvetovanju z nadzornim organom, kadar je iz ocene učinka v zvezi z varstvom podatkov iz prejšnje alineje razvidno, da bi obdelava povzročila veliko tveganje, če Upravljavec ne bi sprejel ukrepov za ublažitev tveganja.
10. člen
(trajanje pogodbene obdelave in izbris osebnih podatkov po prenehanju pogodbene obdelave)
(1) Obdelovalec se zavezuje, da bo v roku 3 mesecev po prenehanju registracije Upravljavca na Rešitev ali v drugem roku skladno z Upravljavčevimi vsakokratnimi Navodili, izbrisal osebne podatke v upravljanju Upravljavca iz vseh svojih sistemov in nosilcev podatkov ter o tem obvestil Upravljavca.
(2) Obdelovalec lahko osebne podatke hrani daljše časovno obdobje samo v primeru, če takšna dolžnost Obdelovalca izhaja iz veljavnih predpisov, pri čemer bo Obdelovalec Upravljavca o taki dolžnosti obvestil.
11. člen
(zagotavljanje informacij in izvedba revizij)
(1) Obdelovalec bo dal Upravljavcu na voljo informacije, ki so razumno potrebne za dokazovanje izpolnjevanja obveznosti iz te Pogodbe, ter bo Upravljavcu ali revizorju, ki ga pooblasti Upravljavec, omogočil izvajanje revizij in bo pri njih sodeloval, vse na način in pod pogoji, kot so dogovorjeni v nadaljevanju tega člena. Če Upravljavec za izvedbo revizije pooblasti tretjo osebo, mora zanjo pridobiti predhodno pisno soglasje Obdelovalca, ki ga Obdelovalec ne bo neutemeljeno zavrnil.
(2) Pogodbeni stranki se dogovorita, da Obdelovalec informacije vsakokrat zagotovi v roku 15 delovnih dni od prejema Upravljavčeve zahteve, in sicer v elektronski obliki, če pogodbeni stranki v posameznem primeru pisno ne dogovorita drugega roka in/ali druge oblike.
(3) Pogodbeni stranki se nadalje tudi dogovorita, da bo Upravljavec Obdelovalca pisno obvestil o nameravani reviziji najmanj 2 tedna pred predvidenim datumom revizije ter mu hkrati posredoval revizijski načrt, ki bo določal obseg, trajanje in datum revizije. Obdelovalec bo revizijski načrt pregledal in Upravljavcu sporočil morebitna vprašanja ali pripombe (npr. če bi posamezna
zahteva, opredeljena v revizijskem načrtu, lahko ogrozila varnost pri Obdelovalcu ali bi lahko z njeno izpolnitvijo Obdelovalec prekršil kakšno svojo drugo obveznost). Pogodbeni stranki bosta sodelovali v dobri veri z namenom dokončne uskladitve revizijskega načrta.
(4) Revizija se lahko izvede samo znotraj delovnega časa Obdelovalca ter skladno z Obdelovalčevimi internimi pravili (npr. v zvezi vstopom v poslovne prostore Obdelovalca) ter ne sme v nerazumnem obsegu motiti Obdelovalčevega delovnega procesa. Revizijo izvede Upravljavec na svoje stroške in je dolžan Obdelovalcu povrniti stroške v primeru, če je za izvedbo revizije potrebno sodelovanje Obdelovalca v obsegu, ki presega aktivnosti, ki so potrebne za izvajanje Splošnih pogojev in te Pogodbe. O višini takšnih stroškov in načinu njihovega plačila se pogodbeni stranki pisno dogovorita pred začetkom revizije.
(5) Upravljavec je dolžan Obdelovalcu po končani reviziji izročiti revizijsko poročilo (razen v primeru, ko mu to ni dovoljeno v skladu z veljavnimi predpisi). Revizijsko poročilo predstavlja poslovno skrivnost in sta ga obe pogodbeni stranki dolžni varovati skladno z določbo Splošnih pogojev, ki ureja poslovno skrivnost. Upravljavec sme revizijsko poročilo uporabiti izključno za namen ugotavljanja ter potrjevanja skladnosti s to Pogodbo.
(6) Obdelovalec ima pravico zavrniti posamezno zahtevo Upravljavca za zagotovitev informacij ali izvedbo revizije, če oceni, da je zahteva Upravljavca očitno neutemeljena ali pretirana (zlasti v primeru ponavljajočih zahtev) ali bi mu povzročila nesorazmerne stroške.
12. člen (skrbniki pogodbe)
(1) Za pooblaščeno odgovorno osebo na strani Upravljavca za izvajanje te Pogodbe in komunikacijo z Obdelovalcem v zvezi z vprašanji, ki so povezana z izvajanjem te Pogodbe, se šteje tista oseba, ki jo Upravljavec določi kot kontaktno osebo za sodelovanje z Obdelovalcem.
13. člen (trajanje pogodbe)
(1) Ta Pogodba je sklenjena, ko se Upravljavec registrira na Rešitev po postopku, ki je določen s Splošnimi pogoji.
(2) Veljavnost te Pogodbe je vezana na veljavnost registracije Upravljavca na Rešitev, in sicer tako, da ta Pogodba avtomatično preneha veljati s potekom roka 3 mesecev od dneva prenehanja registracije na Rešitev, če Upravljavec v posameznem primeru, skladno z 10. členom te Pogodbe, ne določi drugega roka za izbris osebnih podatkov in se v tem primeru veljavnost Pogodbe ustrezno podaljša ali skrajša.
14. člen (neveljavna določila)
(1) Če je katerakoli določba te Pogodbe v nasprotju z veljavnimi predpisi, se v obsegu takega nasprotja s predpisi šteje za ločljivo in ne vpliva na veljavnost katerekoli druge določbe te Pogodbe.
(2) V primeru iz prejšnjega odstavka in v primeru, da posamezna vprašanja niso urejena s to Pogodbo, se neposredno uporabljajo veljavni predpisi.
15. člen (reševanje sporov)
(1) Pogodbeni stranki bosta spore reševali sporazumno, v kolikor to ne bo mogoče, je za reševanje sporov pristojno sodišče v Ljubljani.
Priloga št. 1 – Vrste osebnih podatkov in kategorije posameznikov
Skladno z 2. členom Pogodbe Upravljavec za vsak posamezni Dogodek določi vrste osebnih podatkov in kategorije posameznikov, ki so primeroma našteti v nadaljevanju te priloge.
1. Vrste osebnih podatkov:
• Ime
• Priimek
• Naslov
• Rojstni podatki
• Podatki o zaposlitvi (ime delodajalca, delovno mesto, funkcija)
• Izobrazba
• EMŠO
• Davčna številka
• Telefonska številka
• Uporabniško ime in geslo
2. Osebni podatki se nanašajo na naslednje kategorije posameznikov:
• Udeleženci Dogodka
• Povabljenci na Dogodek
• Predstavniki Upravljavca
• Zaposleni Upravljavca
Priloga št. 2 – Tehnični in organizacijski ukrepi
Opis veljavnih tehničnih in organizacijskih ukrepov za zagotovitev varnosti osebnih podatkov je dostopen na tem linku.
Obdelovalec si pridržuje pravico so spremembe svojih tehničnih in organizacijskih ukrepov ter bo o morebitnih spremembah obvestil skrbnika Upravljavca po elektronski pošti.
Priloga št. 3 - Podobdelovalci
Skladno s tretjim odstavkom 7. člena daje Upravljavec Obdelovalcu posebno soglasje za imenovanje naslednjih podobdelovalcev:
1. Podatki o podobdelovalcu:
1. Naziv: SIEL, d.o.o.
2. Naslov: Rimske terase 43, 3313 Polzela, Slovenija
3. Iznos izven Slovenije:
☐ DA
☒ NE
4. Vrste osebnih podatkov: skladno s Prilogo št. 1
5. Vrste pogodbene obdelave: spletno gostovanje, najem strežnikov
6. Pogodba s podobdelovalcem: na vpogled pri Obdelovalcu
2. Podatki o podobdelovalcu:
1. Naziv: Mailjet SAS
2. Naslov: Rue de x’Xxxxxx 00000 Xxxxx, Xxxxxx
3. Iznos izven Slovenije:
☒ DA
☐ NE
4. Varovalke v primeru iznosa iz Slovenije:
☒EEA
☐odločitev o ustreznosti
☐US Privacy Shield
☐standardne pogodbene klavzule
☐zavezujoča poslovna pravila
☐izjeme
5. Vrste osebnih podatkov: skladno s Prilogo št. 1
6. Vrste pogodbene obdelave: zagotavljanje poti za pošiljanje elektronske pošte
7. Povezava do pogodbe oz. splošnih pogojev: xxxxx://xxx.xxxxxxx.xxx/