Contract
Pogodba za opravljanje storitev najema in vzdrževanja programske opreme v skladu s Splošno uredbo o varstvu osebnih podatkov
ki jo sklepata:
ID za DDV: , matična št.: ,
ki ga zastopa
(v nadaljevanju Upravljavec osebnih podatkov)
in
PRONET, Kranj, d.o.o., Xxxxxxxxxxx xxxxx 00x, 0000 Xxxxx,
ID za DDV SI35884193, matična št. 5548586, TRR št. XX00 0000 0000 0000 000
(v nadaljevanju: Obdelovalec osebnih podatkov)
1 Uvodne določbe
1.1 Pogodbena partnerja ugotavljata, da osnovni predmet poslovnega sodelovanja ter njune medsebojne obveznosti urejajo predhodne pogodbe in aneksi.
1.2 Pogodbena partnerja sklepata to pogodbo zaradi ureditve in uskladitve njunih medsebojnih razmerij v skladu s Splošno uredbo o varstvu osebnih podatkov EU 679/2016 (v nadaljevanju: Uredba)
1.3 Izrazi, uporabljeni v tej Pogodbi, imajo enak pomen, kot je določen v Uredbi.
1.4 Vzdrževanje praviloma pomeni oddaljen dostop za potrebe distribucije lastnih programskih rešitev ali druge vrste pogodbenega vzdrževanja informacijskega sistema pogodbenega partnerja.
1.5 Upravljavec bo Obdelovalcu za namene izvajanja Pogodbenih storitev predal zbirko osebnih podatkov, ki so navedeni v Prilogi 1 te Pogodbe. Za predane štejejo tudi osebni podatki, s katerimi se bo Obdelovalec nenamerno srečal pri opravljanju Pogodbenih storitev. O teh osebnih podatkih Obdelovalec vodi ustrezno evidenco.
1.6 Obdelovalec bo prejeto zbirko oz. v njej vsebovane osebne podatke uporabil samo za izvajanje Pogodbenih storitev in izključno za namene vzdrževanja programske opreme.
2 Zagotavljanje informacijske varnosti in skladnosti
2.1 Upravljavec in Obdelovalec sta vsak posebej v svojih organizacijah sprejela, pri svojem delovanju pa dosledno izvajata ustrezne tehnične in organizacijske ukrepe, ki zagotavljajo varovanje osebnih podatkov in uresničevanje pravic v povezavi z njimi skladno z Uredbo (člena 28 in 32).
Minimalni tehnični in organizacijski ukrepi, ki preprečujejo nenamerno ali namerno nepooblaščeno spreminjanje, uničevanje, izgubo ali nepooblaščeno obdelavo osebnih podatkov, vključujejo:
̶ fizično, tehnično in logično varovanje prostorov, strojne opreme in sistemske programske opreme, vključno z vhodno-izhodnimi enotami IKT;
̶ tehnično in logično varovanje uporabniške programske opreme;
̶ tehnično in logično preprečevanje nepooblaščenih dostopov do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
̶ učinkovite načine blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov, ko je izpolnjen namen, za katerega so bili zbrani;
̶ zagotavljanje revizijskih sledi, ki so namenjene poznejšemu ugotavljanju, časov vnosa posameznih podatkov v evidenco osebnih podatkov, uporabe, posredovanj, vpogledov ali drugačnih obdelav in ugotavljanje izvajalcev teh aktivnosti (vodenje evidenc o obdelavi in posredovanju osebnih podatkov);
̶ pisne zaveze oseb, ki pooblaščeno izvajajo obdelave osebnih podatkov, k varovanju zaupnosti;
̶ druge ustrezne ukrepe, ki jih določa Uredba (člen 32).
2.2 Upravljavec in Obdelovalec vsak zase jamčita, da pri izvajanju pogodbenih storitev upoštevata in izpolnjujeta vsa določila, zahteve in standarde, ki jih v povezavi z varnostjo osebnih podatkov opredeljujejo njuni medsebojni dogovori, Uredba in dobre prakse v informacijski varnosti.
2.3 Upravljavec in obdelovalec izpolnjujeta tudi vsa določila Uredbe in dobrih praks informacijske varnosti v povezavi z oblikovanjem in s hrambo revizijskih sledi.
2.4 Upravljavec in Obdelovalec vsak zase jamčita, da lahko stalno in v vsakem trenutku celovito izpolnjujeta zahteve posameznikov, kot jih v zvezi z njihovimi pravicami opredeljujeta Uredba.
2.5 Obdelovalec zagotavlja, da pri opravljanju storitev ter predvsem pri razvoju in vzdrževanju programske opreme za Upravljavca, upošteva vsa določila in zahteve, ki jih v zvezi z varstvom osebnih podatkov opredeljujejo Uredba in dobre prakse v informacijski varnosti.
2.6 Obdelovalec zagotavlja, da njegova programska oprema Upravljavcu v vsakem trenutku nudi funkcionalnosti, ki omogočajo izvedbo aktivnosti in postopkov, ki so potrebne za izpolnjevanje zahtev in pravic, kot jih v zvezi z varstvom osebnih podatkov opredeljuje Uredba.
2.7 Upravljavec in Obdelovalec izjavljata, da sta vsak posebej in skladno z določili členov 37, 38 in 39 Uredbe, v svojih organizacijah imenovala pooblaščenca za varstvo osebnih podatkov in opredelila njegove (-ne) pristojnosti, obveznosti in odgovornosti.
3 Pridobivanje, obdelava, posredovanje in hramba osebnih podatkov
3.1 Upravljavec vse osebne in z njimi povezane podatke, ki so predmet obdelav oz. izvajanja Pogodbenih storitev, pridobiva zakonito in na način, skladen z določili členov 6 (1), 7 (1), 8 in 9 (2) Uredbe.
3.2 Upravljavec izjavlja, da vse posameznike jasno, razumljivo in v pisni obliki seznanja z načeli zbiranja, obdelave, posredovanja in hrambe osebnih podatkov, ki jih opredeljuje člen 5 Uredbe.
4 Pravice posameznikov
4.1 Upravljavec vsem posameznikom v povezavi z njihovimi osebnimi podatki omogoča uresničevanje vseh pravic, navedenih v členih od 12 do 22 in 46 (5) Uredbe.
4.2 Obdelovalec je skladno z določili členov 37, 38 in 39 Uredbe imenoval Pooblaščenca(ko) za varnost osebnih podatkov in opredelil njegove(njene) pristojnosti, obveznosti in odgovornosti.
5 Pravice upravljavca
5.1 Upravljavec sme v vsakem trenutku na lastne stroške in s pomočjo neodvisnega presojevalca pri Obdelovalcu preveriti izvajanje Pogodbenih storitev ter predvsem izvajanje ustreznih tehničnih in organizacijskih ukrepov, ki zagotavljajo informacijsko varnost in varnost osebnih podatkov ter skladnost z Uredbo in dobrimi praksami v informacijski varnosti.
5.2 Upravljavec sme Obdelovalcu pri izvajanju dogovorjenih aktivnosti omejiti ali prepovedati sodelovanje s posameznim podizvajalcem.
6 Obveznosti Upravljavca
6.1 Upravljavec je dolžen vse zahtevke in navodila, ki so povezana z opravljanjem Pogodbenih storitev, posredovati Obdelovalcu v pisni obliki.
7 Pravice Obdelovalca
7.1 Obdelovalec sme ob sumu, da bi z izvedbo Upravljavčevega navodila kršil veljavno zakonodajo, do potrditve ali spremembe navodila začasno prekiniti izvajanje pogodbenih storitev. Obdelovalec je dolžen sum kršitve veljavne zakonodaje in namero za prekinitev izvajanja Pogodbenih storitev nemudoma posredovati Upravljavcu.
7.2 Obdelovalec sme pri izvajanju Pogodbenih storitev skleniti ustrezen dogovor s podizvajalcem le v obsegu in za vrsto sodelovanja, kot je to predhodno in v pisni obliki odobril Upravljavec.
8 Obveznosti Obdelovalca
8.1 Obdelovalec je dolžen izvajati Pogodbene storitve samo obsegu in za namene, kot je to določeno v Pogodbi, Aneksih ter v pisnih zahtevkih in navodilih Upravljavca.
8.2 Obdelovalec bo pri izvajanju Pogodbenih storitev izpolnjeval vse zahteve Uredbe v povezavi z oblikovanjem in s hrambo revizijskih sledi.
8.3 Obdelovalec bo skladno z Uredbo in dobro prakso v informacijski varnosti stalno izvajal in nadgrajeval vse ustrezne tehnične in organizacijske ukrepe, ki zagotavljajo ustrezno zaščito osebnih in drugih z njimi povezanih podatkov posameznikov in Upravljavca, tako da bodo stalno zagotovljeni zaupnost, celovitost, razpoložljivost in odpornost sistemov ter storitev.
8.4 Obdelovalec bo z odobrenimi podizvajalci sklenil ustrezne pogodbe v pisni obliki. Njegova odgovornost je, da bodo podizvajalci zagotavljali najmanj enako raven informacijske varnosti in varovanja osebnih podatkov, kot jo zagotavlja on sam.
8.5 Obdelovalec bo ob prejemu zahtevka posameznika za uveljavitev katere koli pravice, ki mu je zagotovljena z Uredbo, in če lahko na podlagi njemu dostopnih podatkov poveže posameznika z Upravljavcem, tak zahtevek nemudoma in v pisni obliki posredoval Upravljavcu.
8.6 Vsi zaposleni in druge osebe, ki sodelujejo pri izvajanju Pogodbenih storitev na strani Obdelovalca, so zavezani k spoštovanju navodil in standardov, ki jih bodo posredovali Upravljavec in Uredbe (členi 28, 29, 32).
8.7 Vsi zaposleni in druge osebe, ki sodelujejo pri izvajanju Pogodbenih storitev na strani Obdelovalca, so zavezani k spoštovanju varovanja poslovnih skrivnosti. Obveznost varovanja poslovnih skrivnosti je veljavna tudi po prenehanju zaposlitve ali drugega pogodbenega razmerja ali prekinitvi sodelovanja med Upravljavcem in Obdelovalcem.
8.8 Obdelovalec bo v primerih, določenih v Uredbi, ali na podlagi pisne zahteve Upravljavca sodeloval z Uradom informacijske pooblaščenke.
8.9 Obdelovalec bo po koncu izvajanja Pogodbenih storitev Upravljavcu nemudoma predal vse prejete zbirke osebnih podatkov. Če Upravljavec ne bo zahteval drugače, mora Obdelovalec po prekinitvi sodelovanja nemudoma in trajno uničiti vse kopije, ostanke ali sledi zapisov osebnih podatkov, ki so bili predmet Pogodbenih storitev in/ali s katerimi je pri opravljanju Pogodbenih storitev prišel v stik. Izjema so morebitne kopije obdelovanih podatkov, za katere pravo EU ali slovensko pravo predpisuje shranjevanje osebnih podatkov.
9 Upravljanje z incidenti
9.1 Upravljavec in Obdelovalec vsak posebej in vsak zase jamčita, da skladno z Uredbo in dobrimi praksami v informacijski varnosti v njunih organizacijah izvajata vse tehnične in organizacijske ukrepe, ki zagotavljajo upravljanje in izvajanje ustreznih aktivnosti ob sumu ali zaznavi varnostnega incidenta in/ali izgube zaupnosti.
9.2 Upravljavec in Obdelovalec bosta ob sumu ali zaznavi varnostnega incidenta in/ali izgube zaupnosti nemudoma ukrepala skladno s členoma 33 in 34 Uredbe.
9.3 Upravljavec in Obdelovalec bosta poleg izvedbe vseh aktivnosti, predvidenih v njunih
notranjih predpisih, ob sumu ali zaznavi varnostnega incidenta in/ali izgube zaupnosti o tem nemudoma obvestila drug drugega.
9.4 Upravljavec in Obdelovalec bosta o analizah vseh okoliščin, povezanih z zaznanimi varnostnimi incidenti in/ali izgubami zaupnosti, obveščala drug drugega, na podlagi teh izsledkov pa bosta izboljševala in nadgrajevala svoje prakse in sisteme.
10 Veljavnost Pogodbe
10.1 Upravljavec in Obdelovalec potrjujeta, da ju nobena določba te Pogodbe, osnovne Pogodbe, Xxxxxxx, pisnih zahtev ali navodil ne razbremenjuje njune posamične dolžnosti spoštovanja določil Uredbe in odgovornosti, ki izhajajo iz nje.
10.2 Ob sporih v povezavi z varnostjo osebnih podatkov imajo določila te Pogodbe prednost pred določili osnovne Pogodbe in Aneksov.
10.3 Ob sporih iz naslova te Pogodbe je pristojno stvarno pristojno sodišče v Kranju
10.4 Neveljavnost ali neizvršljivost posameznih določil te Pogodbe nima vpliva na veljavnost in izvršljivost drugih določil te Pogodbe.
10.5 Ta Pogodba je sklenjena za in je veljavna v celotnem obdobju poslovnega odnosa.
10.6 Pogodba stopi v veljavo z dnem podpisa obeh pogodbenih partnerjev.
Pogodbeni Upravljalec osebnih podatkov: Pogodbeni Obdelovalec osebnih podatkov:
V/Na , dne V Kranju, dne ,
XXXXXX, Kranj, d.o.o.
podpis in žig podpis in žig
IME ZBIRKE OSEBNIH PODATKOV | PODATKI, KI SO VSEBOVANI V ZBIRKI OSEBNH PODATKOV | VRSTE DOVOLJENIH OBDELAV (obkroži dovoljeno vrsto obdelave) |
(primer: Seznam kupcev,…) | (primer: Podatki posameznika: ime in priimek, stalno in začasno prebivališče, telefonska številka, elektronski naslov, naslov za obveščanje) | • Uporaba podatkov (obdelovalec sme podatke uporabljati le pri razvoju in vzdrževanju programske opreme) • Pridobivanje podatkov (Obdelovalec pridobiva osebne podatke od upravljavca). • Vpogled, dostop in shranjevanje podatkov (Obdelovalec ima pooblastilo za vpogled, dostop in za vse druge oblike obdelave osebnih podatkov, ki so potrebni za izvedbo storitve skladno z osnovno pogodbo) • Posredovanje podatkov tretjim osebam (Obdelovalec ne sme posredovati osebnih podatkov tretjim osebam. Izjema so njegovi podobdelovalci, za katere je obdelovalec od upravljavca prejel pisno odobritev). • Uporaba podatkov v lastne namene (Obdelovalec nima pooblastila za uporabo podatkov zunaj namena, določenega v pogodbi) |
Priloga 1