Translations proofread by EDPB Members. This language version has not yet been proofread.

Stran 18 od 18

Translations proofread by EDPB Members.

This language version has not yet been proofread.

Osnutek

Standardna pogodbena določila

Za namene člena 28(3) Uredbe 2016/679 (Splošna uredba o varstvu podatkov)

med

[IME]

CVR "[št. CVR]"

[NASLOV]

"[POŠTNA ŠTEVILKA IN MESTO]"

[DRŽAVA]

(v nadaljnjem besedilu: upravljavec podatkov)

in

[IME]

CVR [CVR-št.]

[NASLOV]

"[POŠTNA ŠTEVILKA IN MESTO]"

[DRŽAVA]

(v nadaljnjem besedilu: obdelovalec podatkov)

vsak od njiju „pogodbenica“; skupaj „pogodbenici“,

STA SE DOGOVORILI o naslednjih pogodbenih določilih (v nadaljnjem besedilu: ta določila), da bi izpolnili zahteve iz Splošne uredbe o varstvu podatkov in zagotovili varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

1. Vsebina

2. Preambula 3

3. Pravice in obveznosti upravljavca podatkov 3

4. Obdelovalec podatkov ravna v skladu z navodili 4

5. Zaupnost 4

6. Varnost obdelave 4

7. Uporaba podobdelovalcev 5

8. Prenos podatkov v tretje države ali mednarodne organizacije 6

9. Pomoč upravljavcu podatkov 7

10. Uradno obvestilo o kršitvi varstva osebnih podatkov 8

11. Izbris in vračilo podatkov 8

12. Revizija in pregled 9

13. Sporazum pogodbenic o drugih pogojih 9

14. Začetek in prenehanje 9

15. Stiki/kontaktne točke upravljavca podatkov in xxxxxxxxxxx xxxxxxxx 00

Priloga A Informacije o obdelavi 11

Priloga B Odobreni podobdelovalci 12

Priloga C Navodila, ki se nanašajo na uporabo osebnih podatkov 13

Priloga D Pogoji sporazuma pogodbenic o drugih temah 18

2.Preambula

1. Ta pogodbena določila (v nadaljnjem besedilu: določila) določajo pravice in obveznosti upravljavca podatkov in obdelovalca podatkov, kadar ta obdeluje osebne podatke v imenu upravljavca podatkov.

2. Ta določila so bila pripravljena za zagotovitev skladnosti pogodbenic s členom 28(3) Uredbe 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov).

3. V okviru zagotavljanja [IME STORITVE] bo obdelovalec podatkov obdeloval osebne podatke v imenu upravljavca podatkov v skladu s temi določili.

4. Ta določila imajo prednost pred podobnimi določbami, ki jih vsebujejo drugi sporazumi med pogodbenicama.

5. Dodane so štiri priloge, ki so sestavni del teh določil.

6. Priloga A vsebuje podrobne podatke o obdelavi osebnih podatkov, vključno z namenom in naravo obdelave, vrsto osebnih podatkov, kategorijo posameznika, na katerega se nanašajo osebni podatki, in trajanjem obdelave.

7. Priloga B vsebuje pogoje upravljavca podatkov za uporabo podobdelovalcev s strani obdelovalca podatkov in seznam podobdelovalcev, ki jih je odobril upravljavec podatkov.

8. Priloga C vsebuje navodila upravljavca podatkov glede obdelave osebnih podatkov, minimalnih varnostnih ukrepov, ki jih izvaja obdelovalec podatkov, ter kako naj se izvedejo revizije obdelovalca podatkov in morebitnih podobdelovalcev.

9. Priloga D vsebuje določbe za druge dejavnosti, ki niso zajete v teh določilih.

10. Ta določila, skupaj s prilogami, obe pogodbenici vzdržujeta v pisni obliki, vključno z elektronsko.

11. Ta določila obdelovalca podatkov ne izvzemajo iz obveznosti, ki jih ima obdelovalec podatkov na podlagi Splošne uredbe o varstvu podatkov ali druge zakonodaje.

3.Pravice in obveznosti upravljavca podatkov

1. Upravljavec podatkov je odgovoren za zagotavljanje, da obdelava osebnih podatkov poteka v skladu s Splošno uredbo o varstvu podatkov (glej njen člen 24), veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic¹ in temi določili.

2. Upravljavec podatkov ima pravico in obveznost odločati o namenih in sredstvih obdelave osebnih podatkov.

3. Upravljavec podatkov je med drugim odgovoren za zagotovitev, da ima obdelava osebnih podatkov, za katero je zadolžen obdelovalec podatkov, pravno podlago.

4.Obdelovalec podatkov ravna v skladu z navodili

1. Obdelovalec podatkov obdeluje osebne podatke samo na podlagi dokumentiranih navodil upravljavca podatkov, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja zanj. Taka navodila se opredelijo v prilogah A in C. Upravljavec podatkov lahko v celotnem trajanju obdelave osebnih podatkov da tudi poznejša navodila, vendar se taka navodila vedno dokumentirajo in shranijo v pisni obliki, vključno z elektronsko, skupaj s temi določili.

2. Obdelovalec podatkov takoj obvesti upravljavca podatkov, če so navodila, ki jih da upravljavec podatkov, po mnenju obdelovalca podatkov v nasprotju s Splošno uredbo o varstvu podatkov ali veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic.

[OPOMBA: POGODBENICI MORATA PREDVIDETI IN UPOŠTEVATI POSLEDICE, KI LAHKO IZHAJAJO IZ KATEREGA KOLI NEZAKONITEGA NAVODILA, KI GA DA UPRAVLJAVEC PODATKOV, IN TO UREDITI S SPORAZUMOM MED POGODBENICAMA.]

5.Zaupnost

1. Obdelovalec podatkov odobri dostop do osebnih podatkov, ki se obdelujejo v imenu upravljavca podatkov, samo osebam pod vodstvom obdelovalca podatkov, ki so se zavezale zaupnosti ali imajo ustrezno zakonsko obveznost zaupnosti, in to samo na podlagi potrebe po seznanitvi. Seznam oseb, ki jim je bil omogočen dostop do podatkov, se redno preverja. Na podlagi tega pregleda se lahko tak dostop do osebnih podatkov prekliče, če ni več potreben, in posledično osebni podatki tem osebam niso več dostopni.

2. Obdelovalec podatkov na zahtevo upravljavca podatkov dokaže, da se za zadevne osebe pod vodstvom obdelovalca podatkov uporablja zgoraj navedena zaupnost.

6.Varnost obdelave

1. Člen 32 Splošne uredbe o varstvu podatkov določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec podatkov in obdelovalec podatkov z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje.

Upravljavec podatkov oceni tveganja za pravice in svoboščine posameznikov, povezana z obdelavo, in izvede ukrepe za ublažitev teh tveganj. Odvisno od njihove resnosti lahko ukrepi vključujejo naslednje:

1. psevdonimizacijo in šifriranje osebnih podatkov;

2. zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost ter odpornost sistemov in storitev za obdelavo;

3. zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

4. postopek rednega preizkušanja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

2. V skladu s členom 32 Splošne uredbe o varstvu podatkov obdelovalec podatkov – neodvisno od upravljavca podatkov – oceni tudi tveganja za pravice in svoboščine posameznikov, povezana z obdelavo, in izvede ukrepe za ublažitev teh tveganj. V ta namen upravljavec podatkov zagotovi obdelovalcu podatkov vse informacije, potrebne za opredelitev in oceno takih tveganj.

3. Poleg tega obdelovalec podatkov pomaga upravljavcu podatkov pri zagotavljanju skladnosti upravljavca podatkov z njegovimi obveznostmi na podlagi člena 32 Splošne uredbe o varstvu podatkov, med drugim tako, da upravljavcu podatkov zagotavlja informacije o tehničnih in organizacijskih ukrepih, ki jih je obdelovalec podatkov že izvedel na podlagi člena 32 Splošne uredbe o varstvu podatkov, skupaj z drugimi informacijami, ki jih upravljavec podatkov potrebuje za uskladitev z obveznostmi upravljavca podatkov po členu 32 Splošne uredbe o varstvu podatkov.

Če so pozneje – po oceni upravljavca podatkov – za ublažitev ugotovljenih tveganj potrebni dodatni ukrepi, ki jih mora izvesti obdelovalec podatkov, poleg tistih, ki jih je obdelovalec podatkov že opravil na podlagi člena 32 Splošne uredbe o varstvu podatkov, upravljavec podatkov podrobno opredeli te dodatne ukrepe, ki jih je treba izvesti, v Prilogi C.

7.Uporaba podobdelovalcev

1. Obdelovalec podatkov mora za zaposlitev drugega obdelovalca (podobdelovalca) izpolniti zahteve, opredeljene v členu 28(2) in (4) Splošne uredbe o varstvu podatkov..

2. Obdelovalec podatkov zato ne zaposli drugega obdelovalca (podobdelovalca) za izpolnjevanje teh določil brez predhodnega [IZBIRA 1] posebnega pisnega dovoljenja / [IZBIRA 2] splošnega pisnega dovoljenja upravljavca podatkov.

3. [MOŽNOST 1 POSEBNO PREDHODNO DOVOLJENJE] Obdelovalec podatkov zaposli podobdelovalca izključno na podlagi posebnega predhodnega dovoljenja upravljavca podatkov. Obdelovalec podatkov predloži zahtevo za posebno dovoljenje najmanj [OPREDELITE ČASOVNO OBDOBJE] pred zaposlitvijo zadevnega podobdelovalca. Seznam podobdelovalcev, ki jih je upravljavec podatkov že odobril, je v Prilogi B.

[MOŽNOST 1 SPLOŠNO PISNO DOVOLJENJE] Obdelovalec podatkov ima splošno dovoljenje upravljavca podatkov za zaposlitev podobdelovalcev. Obdelovalec podatkov pisno obvesti upravljavca podatkov o vseh nameravanih spremembah glede dodajanja ali zamenjave podobdelovalcev najmanj [OPREDELITE ČASOVNO OBDOBJE] vnaprej, s čimer se upravljavcu podatkov omogoči, da nasprotuje tem spremembam pred zaposlitvijo zadevnega(-ih) podobdelovalca(-ev). Daljša časovna obdobja za predhodna obvestila za posebne storitve podobdelave se lahko navedejo v Prilogi B. Seznam podobdelovalcev, ki jih je upravljavec podatkov že odobril, je v Prilogi B.

4. Kadar obdelovalec podatkov zaposli podobdelovalca za izvajanje posebnih dejavnosti obdelave v imenu upravljavca podatkov, se temu podobdelovalcu s pogodbo ali drugim pravnim aktom na podlagi prava EU ali prava države članice naložijo enake obveznosti varstva podatkov, kot so določene v teh določilih, zlasti zagotavljanje zadostnih jamstev za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz teh določil in Splošne uredbe o varstvu podatkov.

Obdelovalec podatkov je torej odgovoren za zahtevo, da podobdelovalec izpolnjuje najmanj obveznosti, ki jih ima obdelovalec podatkov na podlagi teh določil in Splošne uredbe o varstvu podatkov.

5. Kopija takega sporazuma o podobdelavi in poznejših dopolnitev se – na zahtevo upravljavca podatkov – dostavi upravljavcu podatkov in s tem upravljavcu podatkov omogoči zagotovitev, da se podobdelovalcu naložijo enake obveznosti varstva podatkov, kot so določene v teh določilih. Določila o vprašanjih, povezanih s poslovanjem, ki ne vplivajo na pravno vsebino o varstvu podatkov v sporazumu o podobdelavi, ne zahtevajo predložitve upravljavcu podatkov.

6. Obdelovalec podatkov se dogovori s podobdelovalcem o določilu v korist tretje osebe, kadar – v primeru stečaja obdelovalca podatkov – je upravljavec podatkov upravičena tretja oseba v sporazumu o podobdelavi in ima pravico do uveljavitve sporazuma proti podobdelovalcu, ki ga je zaposlil obdelovalec podatkov, tj. upravljavcu podatkov omogoči, da naroči podobdelovalcu, naj izbriše ali vrne osebne podatke.

7. Če podobdelovalec ne izpolnjuje svojih obveznosti varstva podatkov, obdelovalec podatkov ostane v celoti odgovoren upravljavcu podatkov glede izpolnjevanja obveznosti podobdelovalca. To ne vpliva na pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s Splošno uredbo o varstvu podatkov – zlasti tiste, ki so predvidene v členih 79 in 82 Splošne uredbe o varstvu podatkov – zoper upravljavca in obdelovalca podatkov, vključno s podobdelovalcem.

8.Prenos podatkov v tretje države ali mednarodne organizacije

1. Prenos osebnih podatkov v tretje države ali mednarodne organizacije s strani obdelovalca podatkov se lahko izvaja samo na podlagi dokumentiranih navodil upravljavca podatkov in se vedno izvaja v skladu s poglavjem V Splošne uredbe o varstvu podatkov.

2. V primeru prenosov v tretje države ali mednarodne organizacije, za katere obdelovalec podatkov ni dobil navodila upravljavca podatkov, naj jih izvede, je obdelovalec podatkov dolžan na podlagi prava EU ali prava države članice, ki velja zanj, obvestiti upravljavca podatkov o tej pravni zahtevi pred obdelavo, razen če zadevno pravo prepoveduje tako obvestilo na podlagi pomembnih razlogov javnega interesa.

3. Brez dokumentiranih navodil upravljavca podatkov obdelovalec podatkov v okviru določil torej ne more:

1. prenesti osebnih podatkov upravljavcu podatkov ali obdelovalcu podatkov v tretji državi ali mednarodni organizaciji;

2. prenesti obdelave osebnih podatkov podobdelovalcu v tretji državi;

3. dati osebnih podatkov v obdelavo obdelovalcu podatkov v tretji državi.

4. Navodila upravljavca podatkov glede prenosa osebnih podatkov v tretjo državo, vključno z, če je primerno, mehanizmom prenosa iz poglavja V Splošne uredbe o varstvu podatkov, na katerem temeljijo, se določijo v prilogi C.6.

5. Ta določila se ne smejo zamenjevati s standardnimi določili o varstvu podatkov v smislu člena 46(2)(c) in (d) Splošne uredbe o varstvu podatkov, pogodbenici pa se na ta določila ne moreta zanašati kot na mehanizem za prenos na podlagi poglavja V Splošne uredbe o varstvu podatkov.

9.Pomoč upravljavcu podatkov

1. Ob upoštevanju narave obdelave obdelovalec podatkov pomaga upravljavcu podatkov z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju obveznosti upravljavca podatkov, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III Splošne uredbe o varstvu podatkov.

To vključuje, kolikor je to mogoče, da bo obdelovalec podatkov pomagal upravljavcu podatkov pri izpolnjevanju obveznosti v zvezi s/z:

1. pravico biti obveščen, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo;

2. pravico biti obveščen, kadar se osebni podatki ne pridobijo od posameznika, na katerega se nanašajo;

3. pravico dostopa posameznika, na katerega se nanašajo osebni podatki;

4. pravico do popravka;

5. pravico do izbrisa („pravico do pozabe“);

6. pravico do omejitve obdelave;

7. obveznostjo obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave;

8. pravico do prenosljivosti podatkov;

9. pravico do ugovora;

10. pravico, da zanje ne veljajo odločitve, ki temeljijo le na avtomatizirani obdelavi, vključno z oblikovanjem profilov.

2. Poleg obveznosti obdelovalca podatkov, da pomaga upravljavcu podatkov na podlagi določila 6.3, obdelovalec podatkov ob upoštevanju narave obdelave in informacij, ki so mu na voljo, pomaga upravljavcu podatkov tudi pri zagotavljanju skladnosti z:

1. obveznostjo upravljavca podatkov, da brez nepotrebnega odlašanja in, kadar je to izvedljivo, najpozneje v 72 urah po seznanitvi s kršitvijo varnosti osebnih podatkov o njej uradno obvesti pristojni nadzorni organ [NAVEDITE PRISTOJNI NADZORNI ORGAN], razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov;

2. obveznostjo upravljavca podatkov, da brez nepotrebnega odlašanja sporoči kršitev varnosti osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, kadar je verjetno, da bo kršitev varnosti osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov;

3. obveznostjo upravljavca podatkov, da opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov (ocena učinka v zvezi z varstvom podatkov);

4. obveznostjo upravljavca podatkov, da se pred obdelavo posvetuje s pristojnim nadzornim organom [NAVEDITE PRISTOJNI NADZORNI ORGAN], kadar je iz ocene učinka v zvezi z varstvom podatkov razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec podatkov ne bi sprejel ukrepov za ublažitev tveganja.

3. Pogodbenici v Prilogi C opredelita ustrezne tehnične in organizacijske ukrepe, s katerimi mora obdelovalec podatkov pomagati upravljavcu podatkov, ter tudi področje uporabe in obseg zahtevane pomoči. To velja za obveznosti, predvidene v določilih 9.1 in 9.2.

10.Uradno obvestilo o kršitvi varstva osebnih podatkov

1. V primeru kakršne koli kršitve varnosti osebnih podatkov obdelovalec podatkov o zadevi brez nepotrebnega odlašanja po seznanitvi s kršitvijo uradno obvesti upravljavca podatkov.

2. Uradno obvestilo upravljavca podatkov se izvede, če je mogoče v [ŠTEVILO UR] urah po seznanitvi s kršitvijo varnosti osebnih podatkov, s čimer se upravljavcu podatkov omogoči, da ravna v skladu s svojo obveznostjo, da uradno obvesti pristojni nadzorni organ o kršitvi varnosti osebnih podatkov, glej člen 33 Splošne uredbe o varstvu podatkov.

3. V skladu z določilom 9(2)(a) obdelovalec podatkov pomaga upravljavcu podatkov pri uradnem obvestilu pristojnemu nadzornemu organu o kršitvi varnosti osebnih podatkov, kar pomeni, da mora obdelovalec podatkov pomagati pri pridobivanju informacij, navedenih v nadaljevanju, ki se na podlagi člena 33 Splošne uredbe o varstvu podatkov navedejo v uradnem obvestilu pristojnemu nadzornemu organu:

1. opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

2. opis verjetnih posledic kršitve varnosti osebnih podatkov;

3. opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

4. Pogodbenici v Prilogi D opredelita elemente, ki jih mora obdelovalec podatkov zagotoviti, ko pomaga upravljavcu podatkov pri uradnem obvestilu pristojnemu nadzornemu organu o kršitvi varnosti osebnih podatkov.

11.Izbris in vračilo podatkov

1. Ob prenehanju zagotavljanja storitev obdelave osebnih podatkov je obdelovalec podatkov dolžan [MOŽNOST 1] izbrisati vse osebne podatke, obdelane v imenu upravljavca podatkov, in upravljavcu podatkov potrditi, da je to storil / [MOŽNOST 2] vrniti vse osebne podatke upravljavcu podatkov in izbrisati obstoječe kopije, razen če pravo Unije ali pravo države članice zahteva hrambo osebnih podatkov.

2. [NEOBVEZNO] Naslednje pravo EU ali pravo držav članic, ki se uporablja za obdelovalca podatkov, zahteva hrambo osebnih podatkov po prenehanju zagotavljanja storitev obdelave osebnih podatkov:

1. […]

Obdelovalec podatkov se zavezuje, da bo podatke obdeloval izrecno za namene in v trajanju, ki jih predvideva to pravo in pod strogimi veljavnimi pogoji.

12.Revizija in pregled

1. Obdelovalec podatkov da na voljo upravljavcu podatkov vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz člena 28 in teh določil, ter upravljavcu podatkov ali drugemu revizorju, ki ga pooblasti upravljavec podatkov, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

2. Postopki, ki se uporabljajo za revizije, tudi preglede, s strani upravljavca podatkov, pri obdelovalcu in podobdelovalcu podatkov, so podrobno opredeljeni v prilogah C.7 in C.8.

3. Obdelovalec podatkov mora nadzornim organom, ki imajo na podlagi veljavne zakonodaje dostop do objektov upravljavca podatkov in obdelovalca podatkov, ali predstavnikom, ki delujejo v imenu teh nadzornih organov, zagotoviti dostop do fizičnih objektov obdelovalca podatkov ob predložitvi ustrezne identifikacije.

13.Sporazum pogodbenic o drugih pogojih

1. Pogodbenici se lahko dogovorita o drugih določilih v zvezi z zagotavljanjem storitve obdelave osebnih podatkov ter določita na primer odgovornost, če neposredno ali posredno ne nasprotujejo tem določilom ali posegajo v temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in varstvo, ki ga zagotavlja Splošna uredba o varstvu podatkov.

14.Začetek in prenehanje

1. Ta določila začnejo veljati na dan, ko jih podpišeta obe pogodbenici.

2. Obe pogodbenici sta upravičeni zahtevati vnovično pogajanje o določilih, če bi spremembe prava ali neprimernost določil sprožili to vnovično pogajanje.

3. Ta določila se uporabljajo v času zagotavljanja storitev obdelave osebnih podatkov. Med zagotavljanjem storitev obdelave osebnih podatkov ta določila ne morejo prenehati veljati, razen če se pogodbenici dogovorita za druga določila, ki urejajo zagotavljanje storitev obdelave osebnih podatkov.

4. Če se storitve obdelave osebnih podatkov prenehajo opravljati in se osebni podatki izbrišejo ali vrnejo upravljavcu podatkov na podlagi določila 11.1 in priloge C.4, lahko določila prenehajo veljati s pisno odpovedjo katere koli pogodbenice.

5. Podpis

V imenu upravljavca podatkov

Ime	[IME]
Položaj	[POLOŽAJ]
Datum	[DATUM]
Podpis	[PODPIS]

V imenu obdelovalca podatkov

Ime	[IME]
Položaj	[POLOŽAJ]
Datum	[DATUM]
Podpis	[PODPIS]

15.Stiki/kontaktne točke upravljavca podatkov in obdelovalca podatkov

1. Pogodbenici lahko med seboj navežeta stik z uporabo naslednjih stikov in kontaktnih točk:

2. Pogodbenici sta dolžni stalno obveščati druga drugo o spremembah stikov oziroma kontaktnih točk.

Ime	[IME]
Položaj	[POLOŽAJ]
Telefon	[TELEFON]
E-pošta	[E-POŠTA]

Ime	[IME]
Položaj	[POLOŽAJ]
Telefon	[TELEFON]
E-pošta	[E-POŠTA]

Priloga A Informacije o obdelavi

[OPOMBA: V PRIMERU VEČ OBDELOVALNIH DEJAVNOSTI JE TREBA TE ELEMENTE IZPOLNITI ZA VSAKO OBDELOVALNO DEJAVNOST.]

1. Namen obdelave osebnih podatkov s strani obdelovalca podatkov v imenu upravljavca podatkov je:

[OPIŠITE NAMEN OBDELAVE].

2. Obdelava osebnih podatkov s strani upravljavca podatkov v imenu obdelovalca podatkov se večinoma nanaša na (narava obdelave):

[OPIŠITE NARAVO OBDELAVE].

3. Obdelava vključuje naslednje vrste osebnih podatkov o posameznikih, na katere se nanašajo osebni podatki:

[OPIŠITE VRSTO OSEBNIH PODATKOV, KI SE OBDELUJEJO].

[NA PRIMER]

„ime, e-poštni naslov, telefonsko številko, naslov, nacionalno identifikacijsko številko, podatke o plačilu, člansko številko, vrsto članstva, obiskovanje fitnes centra in registracijo za posebne fitnes tečaje.“

[OPOMBA: OPIS JE TREBA PODATI ČIM BOLJ PODROBNO, V VSAKEM PRIMERU PA JE TREBA VRSTE OSEBNIH PODATKOV OPREDELITI PODROBNEJE KOT SAMO „OSEBNI PODATKI, KOT SO OPREDELJENI V ČLENU 4(1) SPLOŠNE UREDBE O VARSTVU PODATKOV“ ALI NAVESTI, KATERA VRSTA („ČLENI 6, 9 ALI 10 SPLOŠNE UREDBE O VARSTVU PODATKOV“) OSEBNIH PODATKOV SE OBDELUJE.]

4. Obdelava vključuje naslednje kategorije posameznikov, na katere se nanašajo osebni podatki:

[OPIŠITE KATEGORIJO POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI].

5. Obdelava osebnih podatkov s strani obdelovalca podatkov v imenu upravljavca podatkov se lahko izvaja, ko se začnejo izvajati ta določila: Obdelava ima naslednje trajanje:

[OPIŠITE TRAJANJE OBDELAVE].

Priloga B Odobreni podobdelovalci

1. Odobreni podobdelovalci

Ob začetku teh določil upravljavec podatkov odobri zaposlitev naslednjih podobdelovalcev:

IME CVR NASLOV OPIS OBDELAVE

Upravljavec podatkov ob začetku veljavnosti teh določil odobri uporabo zgoraj navedenih podobdelovalcev za obdelavo, opisano za to pogodbenico. Obdelovalec podatkov ni upravičen – brez izrecnega pisnega soglasja upravljavca podatkov – zaposliti podobdelovalca za „drugačno“ obdelavo od tiste, ki je bila dogovorjena, ali najeti drugega podobdelovalca za izvajanje opisane obdelave.

2. Predhodno obvestilo za odobritev podobdelovalcev

[NEOBVEZNO] [ČE JE PRIMERNO, OPIŠITE OBDOBJA PREDHODNEGA OBVESTILA ZA ODOBRITEV PODOBDELOVALCEV]

Priloga C Navodila, ki se nanašajo na uporabo osebnih podatkov

1. Predmet obdelave/navodila za obdelavo

Obdelavo osebnih podatkov s strani obdelovalca podatkov v imenu upravljavca podatkov izvaja obdelovalec podatkov, ki izvaja naslednje:

[OPIŠITE OBDELAVO, ZA KATERO JE OBDELOVALEC PODATKOV DOBIL NAVODILO, NAJ JO IZVAJA].

2. Varnost obdelave

Pri varnosti obdelave se upošteva:

[OB UPOŠTEVANJU NARAVE, OBSEGA, OKOLIŠČIN IN NAMENOV OBDELAVE, PA TUDI TVEGANJ ZA PRAVICE IN SVOBOŠČINE POSAMEZNIKOV, OPIŠITE ELEMENTE, KI SO BISTVENI ZA RAVEN VARNOSTI]

[NA PRIMER]

„da obdelava vključuje velik obseg osebnih podatkov, za katere velja člen 9 Splošne uredbe o varstvu podatkov o ‚posebnih vrstah osebnih podatkov‘, zato je treba uvesti ‚visoko‘ raven varnosti.

Obdelovalec podatkov je od tu upravičen in dolžan sprejemati odločitve o tehničnih in organizacijskih varnostnih ukrepih, ki jih je treba uporabiti za ustvarjanje potrebne (in dogovorjene) ravni varnosti podatkov.

Obdelovalec podatkov pa izvede – v vsakem primeru in vsaj – naslednje ukrepe, ki so bili dogovorjeni z upravljavcem podatkov:

[OPIŠITE ZAHTEVE ZA PSEVDONIMIZACIJO IN ŠIFRIRANJE OSEBNIH PODATKOV]

[OPIŠITE ZAHTEVE ZA ZAGOTOVITEV STALNE ZAUPNOSTI, CELOVITOSTI, DOSTOPNOSTI IN ODPORNOSTI SISTEMOV IN STORITEV ZA OBDELAVO]

[OPIŠITE ZAHTEVE GLEDE ZMOŽNOSTI PRAVOČASNE POVRNITVE RAZPOLOŽLJIVOSTI IN DOSTOPA DO OSEBNIH PODATKOV V PRIMERU FIZIČNEGA ALI TEHNIČNEGA INCIDENTA]

[OPIŠITE ZAHTEVE GLEDE POSTOPKOV REDNEGA PREIZKUŠANJA, OCENJEVANJA IN VREDNOTENJA UČINKOVITOSTI TEHNIČNIH IN ORGANIZACIJSKIH UKREPOV ZA ZAGOTAVLJANJE VARNOSTI OBDELAVE]

[OPIŠITE ZAHTEVE ZA DOSTOP DO SPLETNIH PODATKOV]

[OPIŠITE ZAHTEVE ZA VARSTVO PODATKOV MED PRENOSOM]

[OPIŠITE ZAHTEVE ZA VARSTVO PODATKOV MED SHRANJEVANJEM]

[OPIŠITE ZAHTEVE ZA FIZIČNO VARNOST LOKACIJ, NA KATERIH SE OBDELUJEJO OSEBNE INFORMACIJE]

[OPIŠITE ZAHTEVE ZA UPORABO DELA NA DOMU/NA DALJAVO]

[OPIŠITE ZAHTEVE ZA VODENJE DNEVNIKA]

3. Pomoč upravljavcu podatkov

Obdelovalec podatkov, kolikor je to mogoče – v okviru področja uporabe in obsega pomoči, opredeljene v nadaljevanju – pomaga upravljavcu podatkov v skladu z določiloma 9.1 in 9.2 z izvajanjem naslednjih tehničnih in organizacijskih ukrepov:

[OPIŠITE PODROČJE UPORABE IN OBSEG POMOČI, KI JO ZAGOTOVI OBDELOVALEC PODATKOV]

[OPIŠITE POSEBNE TEHNIČNE IN ORGANIZACIJSKE UKREPE, KI JIH SPREJME OBDELOVALEC PODATKOV PRI ZAGOTAVLJANJU POMOČI UPRAVLJAVCU PODATKOV]

4. Obdobje shranjevanja/postopki izbrisa

[NAVEDITE OBDOBJE SHRANJEVANJA/POSTOPKE IZBRISA ZA OBDELOVALCA PODATKOV, ČE JE PRIMERNO]

[NA PRIMER]

„Osebni podatki se shranjujejo [NAVEDITE OBDOBJE ALI INCIDENT], po tem pa obdelovalec podatkov osebne podatke samodejno izbriše.

Po prenehanju zagotavljanja storitev obdelave osebnih podatkov obdelovalec podatkov osebne podatke bodisi izbriše bodisi jih vrne v skladu z določilom 11.1, razen če upravljavec podatkov – po podpisu pogodbe – spremeni izvirno odločitev upravljavca podatkov. Taka sprememba se dokumentira in shrani v pisni obliki, vključno z elektronsko, skupaj s temi določili.“

5. Obdelava lokacije

Obdelave osebnih podatkov na podlagi teh določil ni dopustno izvajati na drugih lokacijah kot na spodaj navedenih brez predhodnega pisnega dovoljenja:

[NAVEDITE, KJE OBDELAVA POTEKA] [NAVEDITE OBDELOVALCA PODATKOV ALI PODOBDELOVALCA PODATKOV, KI UPORABLJA TA NASLOV]

6. Navodilo za prenos osebnih podatkov v tretje države

[OPIŠITE NAVODILO ZA PRENOS OSEBNIH PODATKOV V TRETJO DRŽAVO ALI MEDNARODNO ORGANIZACIJO]

[NAVEDITE PRAVNO PODLAGO ZA PRENOS NA PODLAGI POGLAVJA V Splošne uredbe o varstvu podatkov]

Če upravljavec podatkov v teh določilih ali pozneje ne zagotovi dokumentiranih navodil v zvezi s prenosom osebnih podatkov v tretjo državo, obdelovalec podatkov ni upravičen v okviru teh določil izvesti takega prenosa.

7. Postopki revizij, tudi pregledov, obdelave osebnih podatkov, ki jih izvede upravljavec podatkov pri obdelovalcu podatkov

OPIŠITE POSTOPKE REVIZIJ, TUDI PREGLEDOV, OBDELAVE OSEBNIH PODATKOV, KI JIH IZVEDE UPRAVLJAVEC PODATKOV PRI OBDELOVALCU PODATKOV

Na primer:

„Obdelovalec podatkov v [NAVEDITE ČASOVNO OBDOBJE] na stroške [OBDELOVALCA PODATKOV/UPRAVLJAVCA PODATKOV] pridobi [REVIZORJEVO POROČILO/POROČILO O PREGLEDU] neodvisne tretje strani glede skladnosti obdelovalca podatkov s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in temi določili.

Pogodbenici sta se dogovorili, da se lahko naslednje vrste [REVIZORJEVEGA POROČILA/POROČILA O PREGLEDU] uporabijo v skladu s temi določili:

[VSTAVITE ‚ODOBRENO‘ REVIZORJEVO POROČILO/POROČILO O PREGLEDU]

[REVIZORJEVO POROČILO/POROČILO O PREGLEDU] se brez nepotrebnega odlašanja predloži upravljavcu podatkov v informacijo. Upravljavec podatkov lahko izpodbija obseg in/ali metodologijo poročila ter lahko v takih primerih zahteva novo revizijo/pregled po revidiranem obsegu in/ali drugačni metodologiji.

Na podlagi rezultatov take revizije/pregleda lahko upravljavec podatkov zahteva, da se sprejmejo nadaljnji ukrepi za zagotovitev skladnosti s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in temi določili.

Upravljavec podatkov ali predstavnik upravljavca podatkov ima poleg tega dostop, da pregleda, vključno s fizičnim pregledom, kraja, na katerih obdelovalec podatkov izvaja obdelavo osebnih podatkov, vključno s fizičnimi objekti ter tudi sistemi, ki se uporabljajo za obdelavo in v povezavi z njo. Tak pregled se izvede, ko upravljavec podatkov meni, da je potreben.“

[ALI]

„Upravljavec podatkov ali predstavnik upravljavca podatkov v [NAVEDITE ČASOVNO OBDOBJE] izvede fizični pregled krajev, na katerih obdelovalec podatkov izvaja obdelavo osebnih podatkov, vključno s fizičnimi objekti, pa tudi sistemi, ki se uporabljajo za obdelavo in v povezavi z njo, da se ugotovi skladnost obdelovalca podatkov s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in temi določili.

Poleg načrtovanega pregleda lahko upravljavec podatkov izvede tudi pregled obdelovalca podatkov, kadar se upravljavcu podatkov to zdi potrebno.“

[IN, ČE JE PRIMERNO]

„Stroške upravljavca podatkov, ki se nanašajo na fizični pregled, če je to primerno, poravna upravljavec podatkov. Obdelovalec podatkov pa je dolžan zagotoviti sredstva (predvsem čas), potrebna za upravljavca podatkov za izvedbo pregleda.“

8. [ČE JE PRIMERNO] Postopki revizij, tudi pregledi, obdelave osebnih podatkov, ki jih izvaja podobdelovalec podatkov

OPIŠITE POSTOPKE REVIZIJ, TUDI PREGLEDOV, OBDELAVE OSEBNIH PODATKOV, KI JIH IZVEDE UPRAVLJAVEC PODATKOV PRI OBDELOVALCU PODATKOV

[NA PRIMER]

„Obdelovalec podatkov v [NAVEDITE ČASOVNO OBDOBJE] na stroške [OBDELOVALCA PODATKOV/UPRAVLJAVCA PODATKOV] pridobi [REVIZORJEVO POROČILO/POROČILO O PREGLEDU] neodvisne tretje strani glede skladnosti podobdelovalca podatkov s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in s temi določili.

Pogodbenici sta se dogovorili, da se lahko naslednje vrste [REVIZORJEVEGA POROČILA/POROČILA O PREGLEDU] uporabijo v skladu s temi določili:

[VSTAVITE ‚ODOBRENO‘ REVIZORJEVO POROČILO/POROČILO O PREGLEDU]

[REVIZORJEVO POROČILO/POROČILO O PREGLEDU] se brez nepotrebnega odlašanja predloži upravljavcu podatkov v informacijo. Upravljavec podatkov lahko izpodbija obseg in/ali metodologijo poročila in lahko v takih primerih zahteva novo revizijo/pregled po revidiranem obsegu in/ali drugačni metodologiji.

Na podlagi rezultatov take revizije/pregleda lahko upravljavec podatkov zahteva, da se sprejmejo nadaljnji ukrepi za zagotovitev skladnosti s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in s temi določili.

Obdelovalec podatkov ali predstavnik obdelovalca podatkov ima poleg tega dostop, da pregleda, vključno s fizičnim pregledom, kraje, na katerih podobdelovalec podatkov izvaja obdelavo osebnih podatkov, vključno s fizičnimi objekti ter tudi sistemi, ki se uporabljajo za obdelavo in v povezavi z njo. Tak pregled se izvede, ko obdelovalec podatkov (ali upravljavec podatkov) meni, da je potreben.

Dokumentacija za take preglede se brez odlašanja predloži upravljavcu podatkov v informacijo. Upravljavec podatkov lahko izpodbija obseg in/ali metodologijo poročila in lahko v takih primerih zahteva nov pregled po revidiranem obsegu in/ali drugačni metodologiji.“

[ALI]

„Obdelovalec podatkov ali predstavnik obdelovalca podatkov v [NAVEDITE ČASOVNO OBDOBJE] izvede fizični pregled krajev, na katerih obdelovalec podatkov izvaja obdelavo osebnih podatkov, vključno s fizičnimi objekti, pa tudi sistemi, ki se uporabljajo za obdelavo in v povezavi z njo, da se ugotovi skladnost podobdelovalca podatkov s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in s temi določili.

Poleg načrtovanega pregleda lahko obdelovalec podatkov izvede tudi pregled podobdelovalca podatkov, kadar se obdelovalcu podatkov (ali upravljavcu podatkov) to zdi potrebno.

Dokumentacija za take preglede se brez odlašanja predloži upravljavcu podatkov v informacijo. Upravljavec podatkov lahko izpodbija obseg in/ali metodologijo poročila in lahko v takih primerih zahteva nov pregled po revidiranem obsegu in/ali drugačni metodologiji.

Na podlagi rezultatov takega pregleda lahko upravljavec podatkov zahteva, da se sprejmejo nadaljnji ukrepi za zagotovitev skladnosti s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in s temi določili.

[IN, ČE JE PRIMERNO]

„Upravljavec podatkov se lahko – če je treba – odloči, da sproži fizični pregled podobdelovalca in sodeluje pri njem. To se lahko uporabi, če upravljavec podatkov meni, da nadzor podobdelovalca podatkov s strani obdelovalca podatkov upravljavcu podatkov ni zagotovil dovolj dokumentacije za ugotovitev, da se obdelava s strani podobdelovalca izvaja v skladu s temi določili.

Udeležba upravljavca podatkov pri pregledu podobdelovalca ne spremeni dejstva, da je obdelovalec podatkov potem še naprej polno odgovoren za skladnost podobdelovalca podatkov s Splošno uredbo o varstvu podatkov, veljavnimi določbami o varstvu podatkov na ravni EU ali držav članic in s temi določili.“

[IN, ČE JE PRIMERNO]

„Stroški obdelovalca podatkov in podobdelovalca podatkov, povezani s fizičnim nadzorom/pregledom v objektih podobdelovalca, ne zadevajo upravljavca podatkov – ne glede na to, ali je upravljavec podatkov sprožil tak pregled in sodeloval pri njem.“

Priloga D Pogoji sporazuma pogodbenic o drugih temah

1 Sklicevanje na „države članice“ v teh določilih je treba razumeti kot sklicevanje na „države članice EGP“.

Standardna pogodbena določila, december 2019