Spletna pomoč družbe ESET

Iskanje Slovenščina
Izbira kategorije
Izbira teme

Pogodba o obdelavi podatkov

V skladu z zahtevami Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju »uredba GDPR«) ponudnik (v nadaljevanju »obdelovalec«) in vi (v nadaljevanju »upravljavec«) sklepata pogodbeno razmerje o obdelavi podatkov z namenom opredelitve pogojev in določil za obdelavo osebnih podatkov, načina njihove zaščite, kakor tudi opredelitve drugih pravic in obveznosti obeh strank pro obdelovanju osebnih podatkov posameznikov v imenu upravljavca v času izvajanja predmeta teh pogojev v okviru glavne pogodbe.

1. Obdelava osebnih podatkov. Storitve, zagotovljene v skladu s temi pogoji, vključujejo obdelovanje podatkov, povezanih z določenim ali določljivim posameznikom, navedenih v pravilniku o zasebnosti (v nadaljevanju »osebni podatki«).

2. Dovoljenje. Upravljavec obdelovalcu daje dovoljenje za obdelavo osebnih podatkov, ki vključuje naslednja navodila:

(i) Namen obdelave pomeni zagotavljanje storitev v skladu s temi pogoji. Obdelovalec ima dovoljenje za obdelavo osebnih podatkov v imenu upravljavca le v zvezi z zagotavljanjem storitev, ki jih zahteva upravljavec. Vsi podatki, zbrani za dodatne namene, so obdelani zunaj pogodbenega razmerja med upravljavcem in obdelovalcem.

(ii) Obdobje obdelave pomeni obdobje od začetka sodelovanja v skladu s temi pogoji do konca zagotavljanja storitev.

(iii) Obseg in vrste osebnih podatkov. Storitve so namenjene le za obdelavo splošnih osebnih podatkov. Za določanje obsega osebnih podatkov pa je izključno odgovoren upravljavec.

(iv) Posameznik je posamezna oseba, ki ima dovoljenje za uporabo upravljavčevih naprav.

(v) Dejavnosti obdelave so vsakršni in vsi postopki, potrebni za obdelavo.

(vi) Dokumentirana navodila pomenijo navodila, opisana v teh pogojih, pripadajočih prilogah, pravilniku o zasebnosti in dokumentaciji storitve. Upravljavec je odgovoren za zakonito dopusten način obdelave osebnih podatkov s strani obdelovalca v zvezi z veljavnimi določbami zakonodaje o varstvu podatkov.

3. Obveznosti obdelovalca. Obdelovalec je obvezan:

(i) obdelati osebne podatke le na podlagi dokumentiranih navodil in za namene, opredeljene v teh pogojih, pripadajočih prilogah, pravilniku o zasebnosti in dokumentaciji storitve,

(ii) osebe, pooblaščene za obdelavo osebnih podatkov (v nadaljevanju »pooblaščene osebe«), obvestiti o njihovih pravicah in dolžnostih v skladu z uredbo GDPR, njihovi odgovornosti v primeru kršitev ter zagotoviti, da se pooblaščene osebe zavežejo k zaupnosti in upoštevajo dokumentirana navodila,

(iii) uvesti in upoštevati ukrepe, opisane v pogojih, pripadajočih prilogah, pravilniku o zasebnosti in dokumentaciji storitve,

(iv) upravljavcu pomagati pri odzivanju na zahteve posameznikov v zvezi z njihovimi pravicami. Obdelovalec ne sme popravljati, izbrisati ali omejiti obdelave osebnih podatkov brez navodila upravljavca. Vse zahteve posameznikov v zvezi z osebnimi podatki, obdelanimi v imenu upravljavca, je treba brez odlašanja posredovati upravljavcu.

(v) upravljavcu pomagati pri obveščanju nadzornega organa in posameznika o kršitvi varstva osebnih podatkov. Obdelovalec mora upravljavca obvestiti o kakršni koli kršitvi varstva pri obdelavi osebnih podatkov ali varstva osebnih podatkov takoj po odkritju kršitve. Obdelovalec mora v smiselnem obsegu sodelovati pri preiskavi in popravljanju učinkov kršitve ter sprejeti smiselne ukrepe za omejevanje nadaljnjih negativnih posledic.

(vi) po izbiri upravljavca izbrisati ali vrniti vse osebne podatke upravljavcu, ko se izteče obdobje obdelave. Upravljavec se zavezuje, da bo obdelovalca o svoji odločitvi obvestil v desetih (10) dneh po izteku obdobja obdelave. To določilo ne vpliva na obdelovalčevo pravico do obdržanja osebnih podatkov v potrebnem obsegu za namene arhiviranja v javnem interesu, namene znanstvenih raziskav, statistične namene ali za namene osnovanja, izvajanja ali zagovor zakonitih zahtevkov.

(vii) voditi posodobljen register vseh vrst dejavnosti obdelave, opravljenih v imenu upravljavca,

(viii) upravljavcu zagotoviti vse informacije, potrebne za izkazovanje skladnosti, v okviru pogojev, pripadajočih prilog, pravilnika o zasebnosti in dokumentacije storitve. V primeru revizije ali nadzora obdelave osebnih podatkov s strani upravljavca je upravljavec o načrtovani reviziji ali nadzoru obvezan obdelovalca pisno obvestiti vsaj trideset (30) dni vnaprej.

4. Vključevanje drugega obdelovalca. Obdelovalec ima pravico vključiti drugega obdelovalca za izvedbo določenih dejavnosti obdelave, kot je zagotavljanje shrambe v oblaku in infrastrukture za storitev v skladu s pogoji, pripadajočimi prilogami, pravilnikom o zasebnosti in dokumentacijo storitve. Trenutno Microsoft zagotavlja shrambo v oblaku in infrastrukturo v okviru platforme Azure Cloud Services. V takem primeru obdelovalec ostane edina točka stika in stranka, ki je odgovorna za zagotavljanje skladnosti. Obdelovalec se zavezuje, da bo upravljavca obveščal o vsakršni vključitvi dodatnega ali nadomestnega drugega obdelovalca, da mu omogoči možnost ugovora na zadevno spremembo.

5. Geografsko območje obdelave. Obdelovalec mora zagotoviti, da se obdelava izvaja v Evropskem gospodarskem prostoru ali na podlagi odločitve upravljavca v državi, ki je z odločbo Evropske komisije označena kot varna. V primeru prenosov in obdelave zunaj Evropskega gospodarskega prostora ali na zahtevo upravljavca v državi, ki je z odločbo Evropske komisije označena kot varna, veljajo standardne pogodbene klavzule.

6. Varnost. Obdelovalec potrjeno izpolnjuje zahteve standarda ISO 27001:2013 in uporablja ogrodje standarda ISO 27001 za izvajanje večplastne zaščitne in varnostne strategije z uporabo varnostnih kontrol na ravni omrežja, operacijskih sistemov, zbirk podatkov, aplikacij, osebja in operativnih procesov. Skladnost z regulativnimi in pogodbenimi zahtevami se redno preverja in pregleduje podobno kot druga infrastruktura in postopki obdelovalca, pri čemer se redno izvajajo potrebni koraki za zagotavljanje skladnosti. Obdelovalec je varnost podatkov organiziral s sistemom ISMS na podlagi standarda ISO 27001. Varnostna dokumentacija vsebuje pretežno dokumente s pravilniki za varnost podatkov, fizično varnost, varnost opreme, upravljanje incidentov, obravnavanje uhajanja podatkov ter varnostnih incidentov itd.

7. Tehnični in organizacijski ukrepi. Obdelovalec mora osebne podatke zaščititi pred naključno in nezakonito poškodbo in uničenjem. naključno izgubo, spremembo, nepooblaščenim dostopom in razkritjem. V ta namen mora obdelovalec izvesti ustrezne tehnične in organizacijske ukrepe, ki se ujemajo z načinom obdelave in tveganjem, ki ga predstavlja obdelava za pravice posameznikov, v skladu z zahtevami uredbe GDPR. Podroben opis tehničnih in organizacijskih ukrepov je naveden v pravilniku o varnosti.

8. Podatki za stik z obdelovalcem. Vsa obvestila, zahteve, pozive in drugo dokumentacijo v zvezi z varstvom osebnih podatkov je treba nasloviti na ESET, spol. s.r.o., s polnim naslovom: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.