POGODBO O OBDELAVI OSEBNIH PODATKOV

1. člen
Uvodne ugotovitve

Pogodbeni stranki uvodoma ugotavljata, da: je upravljavec sklenil z obdelovalcem Partnersko pogodbo: 
VZDRŽEVALNA POGODBA in najem programa ter strojne opreme (v nadaljevanju: krovna pogodba) v skladu s katero obdelovalec ponuja določene storitve, kot izvajalec storitev, za upravljavca.

V skladu s krovno pogodbo iz prejšnjega odstavka storitve obdelovalca obsegajo:

Svetovanje pri nadgraditvi in širitvi, dobava, vgradnja, konfiguriranje, upravljanje, vzdrževanje in servis stroje opreme ter sistemske in druge licenčne programske opreme, v primeru, da je stranka navedeno opremo kupila pri obdelovalcu;
Manjša programska dela in tehnična pomoč uporabnikom naročnikovih storitev;
Spremljanje razvoja in trendov informatike in tehnologij v svetu ter pomoč pri pripravi strategij in planov razvoja na področju informatike;
Druge oblike sodelovanja, o katerih se pogodbeni stranki dogovorita v okviru izvajanja te pogodbe ali na projektni osnovi z aneksom k njej;
Odprava manjših napak na poziv naročnika (oddaljena podpora);
Nadgradnje, izboljšave in popravke, kadar so le-ti na voljo pri proizvajalcih programske opreme;
Pripravljenost strokovno usposobljenega osebja za nudenje tehnične pomoči in storitev;
Vgradnjo sprememb in nadgradenj kadar so le te na voljo;
Možnost popravila opreme izven delovnega časa;
Možnost popravila opreme ob sobotah, nedeljah in praznikih;
Oddaljena podpora in svetovanje;
Pregled opreme 1 krat na leto. Pregled se lahko izvede oddaljeno preko programa MPSAnywhere.

Pogodbeni stranki sklepata to pogodbo na podlagi 28. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27.04.2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju GDPR ali Splošna uredba o varstvu osebnih podatkov).

2. člen
Predmet pogodbe

Predmet te pogodbe je ureditev razmerij med upravljavcem in obdelovalcem v zvezi z obdelavo osebnih podatkov v okviru izvajanja storitev, ki jih opredeljuje pogodba iz 1. odstavka 1 člena te pogodbe, ne samo a predvsem:

vsebine obdelave osebnih podatkov,
narave in namena obdelave osebnih podatkov,
vrste osebnih podatkov,
kategorije posameznikov, na katere se nanašajo osebni podatki,
pravic in obveznosti upravljavca in obdelovalca,
trajanje obdelave osebnih podatkov ter
ukrepe ob oziroma po prenehanju obdelave osebnih podatkov.

S to pogodbo se obdelovalec zaveže, da zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov v skladu s to pogodbo in Splošno uredbo o varstvu osebnih podatkov na način, da obdelava osebnih podatkov zagotavlja varstvo pravic posameznika na katerega se nanašajo osebni podatki.

S to pogodbo upravljavec jamči, da bo obdelovalcu v obdelavo posredoval le tiste osebne podatke, v zvezi s katerimi razpolaga z ustrezno pravno podlago za obdelavo le teh.

3. člen
Vsebina, namen in narava obdelave osebnih podatkov

Obdelovalec bo osebne podatke, ki jih prejme na podlagi te pogodbe obdeloval izključno v imenu in za račun upravljavca in le v okviru in obsegu potrebnem za namen izvajanja storitev v skladu s pogodbo iz 1. odstavka 1. člena te pogodbe.

Obdelovalec se zaveda, da namene in sredstva obdelave osebnih podatkov določa izključno upravljavec. 

Obdelovalec sam ne bo določal namenov in sredstev obdelave osebnih podatkov, ki jih v obdelavo prejeme od upravljavca v skladu z določili te pogodbe.

4. člen
Vrste osebnih podatkov in kategorije posameznikov na katere se nanašajo

Upravljavec bo obdelovalcu po sklenitvi te pogodbe izročil in mu bo v trajanju veljavnosti te pogodbe za namen izvajanja storitev v skladu s pogodbo iz 1. alineje 1. odstavka 1. člena te pogodbe izročil/izročal naslednje vrste osebnih podatkov:

ime in priimek upravljavca in oseb, ki na osnovi kakršnekoli pogodbe zanj opravljajo dela, kot jih opredeljuje pogodba, ki je med njima sklenjena,
e-naslov upravljavca,
telefonske številke upravljavca in tudi oseb, ki so z upravljavcem v kakršnemkoli pogodbenem odnosu in zanj opravljajo dela, kot jih opredeljuje pogodba, ki je med njima sklenjena,
davčne številke oseb, ki so zaposlene ali na kakršnikoli drugi pogodbeni osnovi opravljajo dela za upravljavca,
ter druge podatke, ki so potrebni za opravljanje storitev v skladu s pogodbo iz 1. odstavka 1 člena te pogodbe in ima delodajalec/upravljavec za njihovo obdelavo ustrezno pravno podlago v zakonu ali privolitvi delavca.

Obdelovalec osebnih podatkov, ki jih prejme v skladu s to pogodbo, ne bo iznašal v tretje države, razen v primeru in v obsegu, če to od njega zahteva pravo EU ali RS. V tem primeru bo pred iznosom osebnih podatkov v tretje države obvestil upravljavca v skladu z veljavno zakonodajo.


5. člen
Navodila in nadzor

Upravljavec vsa izrecna navodila, ki jih da obdelovalcu v zvezi z obdelavo osebnih podatkov, ki niso opredeljena s to pogodbo, dokumentira.

Upravljavec ima pravico, da enkrat letno, pa tudi kadar zazna nepravilnosti ali je o njih obveščen, pri obdelovalcu izvede oziroma naroči zunanjemu izvajalcu, da zanj izvede revizijo oziroma pregled postopkov n ukrepov, ki jih v zvezi z obdelavo osebnih podatkov izvaja obdelovalec. Obdelovalec je dolžan upravljavcu oziroma zunanjemu izvajalcu omogočiti pregled in pri njem aktivno sodelovati.

Obdelovalec je dolžan upravljavcu dati na voljo vse informacije za dokazovanje izpolnjevanja svojih obveznosti v skladu s to pogodbo.


6. člen
Pod-obdelovalec obdelave osebnih podatkov

Upravljavec dovoljuje in se strinja, da obdelovalec po lastni izbiri najame drugega obdelovalca za izvedbo posameznih nalog obdelave osebnih podatkov v okviru izvajanja storitev po tej pogodbi (v nadaljevanju: pogodbeni pod-obdelovalec). Obdelovalec bo upravljavca o vseh nameravanih najemih pogodbenih pod-obdelovalcev obvestil v razumnem roku pred prepustitvijo osebnih podatkov v pod-obdelavo, najkasneje pa v roku 15 dni pred prepustitvijo v pod-obdelavo. 

Upravljavec ima pravico nasprotovati najemu izbranega pod-obdelovalca in ima v primeru v kolikor obdelovalec vztraja pri najemu tega pogodbenega pod-obdelovalca, pravico odstopiti od te pogodbe in tudi od pogodbe iz 1. odstavka 1. člena te pogodbe, brez odpovednega roka s takojšnjim učinkom. V kolikor upravljavec do nameravane prepustitve v pod-obdelavo ne izkoristi pravice do odstopa od te pogodbe se šteje, da se strinja z izbranim pod-obdelovalcem.

Obdelovalec s pod-obdelovalcem sklene ustrezno pisno pogodbo o obdelavi osebnih podatkov, s katero ga zaveže, da spoštuje enake ali strožje standarde varstva osebnih podatkov, kot jih določa in zahteva ta pogodba. V kolikor pogodbeni pod-obdelovalec ne izpolnjuje obveznosti v zvezi z varstvom osebnih podatkov, obdelovalec v celoti odgovarja upravljavcu za izpolnjevanje obveznosti pogodbenega pod-obdelovalca.

7. člen
Zavarovanje osebnih podatkov

Obdelovalec bo tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov zagotavljal v skladu z lastnim internim aktom, ki se nanaša na zavarovanje osebnih podatkov in tudi vsakokrat veljavnim internim aktom o zavarovanju osebnih podatkov, ki je sprejet in velja pri upravljavcu, predvsem pa zavarovanje osebnih podatkov obsega:

Obdelovalec osebnih podatkov nikoli ne bo puščal nenadzorovanih. Osebne podatke v papirni obliki bo v času odsotnosti iz poslovnih prostorov shranjeval v zaklenjenih omarah. Dostop do osebnih podatkov v elektronski obliki pa bo imel zaščiten z uporabniškim imenom in geslom. Vsak zaposleni pri obdelovalcu, ki zaradi svojega dela potrebuje dostop do osebnih podatkov ima svoje uporabniško ime in geslo, ki se menja in je sestavljeno v skladu s politiko menjavanja in določanja gesel pri obdelovalcu. Brezžično omrežje, preko katerega obdelovalec dostopa do baz podatkov, bo zavarovano z geslom, ki ga ne bo delil s strankami ali poslovnimi partnerji. Operacijski sistem, programi in aplikacije za dostop do podatkov na vseh napravah (računalniki, tablice, pametni telefon) so protivirusno zaščiteni, zaščiteni proti zlonamernim kodam in jih redno posodablja. Če naprava, brezžično omrežje ali pot dostopa do podatkov (VPN), niso ustrezno zaščiteni., ne dostopa do osebnih podatkov. Podatkovne enote (npr. prenosne diske, USB ključke), na katerih obdelovalec hrani osebne podatke zaščiti z geslom. Odpadnih nosilcev osebnih podatkov (papirja, diskov in USB ključkov) ter naprav informacijske tehnologije (računalnikov, tablic, telefonov), na katerih hrani ali je hranil osebne podatke ali gesla za dostop do osebnih podatkov, ne meče v koš za smeti ali jih posoja dokler podatkov ni nepovratno izbrisal. Papirjev, na katerih so navedeni osebni podatki, nikoli ne meče v koš za smeti ampak jih sproti uničuje z rezkalnikom za papir. Kadar uničuje večje količine papirja z osebnimi podatki, za to najame zunanjega izvajalca za uničevanje dokumentacije, s katerim sklene tudi ustrezno pogodbo o obdelavi osebnih podatkov. Kadar za obdelovalca zunanji izvajalec izvaja podporo na podatkovnih enotah oziroma napravah ali programski opremi, ki mu tehnično omogočajo dostop do osebnih podatkov z njim sklene ustrezno pogodbo o obdelavi osebnih podatkov. Kadar mu zunanji izvajalec zagotavlja podporo z uporabo programske opreme za oddaljen dostop do naprav informacijske tehnologije ga obdelovalec pri tem nadzoruje.

V zvezi z oddaljeno podporo se obdelovalec nepreklicno zavezuje in izjavlja, da v okviru opravljanja te storitve ne bo dostopal do nobenih drugih osebnih podatkov, map oziroma karkoli se nahaja na računalniku upravljavca, razen do podatkov, ki so nujno potrebni za odpravo napake oziroma servisom, ki je podlaga za oddaljeno podporo. Pri tem se upravljavec zavezuje, da bo vseskozi oziroma kolikor časa traja odprava napake preko oddaljene podpore vršil nadzor nad obdelovalcem.

Obdelovalec zagotavlja, da so vse osebe, ki jih pooblasti za neposredno izvajanje obdelave osebnih podatkov (zaposleni, študenti, pogodbeni pod-obdelovalci) zavezani k zaupnosti ter v ta namen podpišejo izjavo o zaupnosti oziroma zavarovanju osebnih podatkov.

8. člen
Odškodninska odgovornost obdelovalca

Obdelovalec se zavezuje upravljavcu povrniti vsakršno izgubo, povzročeno škodo, stroške ali izdatke, ki jih je upravljavec utrpel zaradi ali v zvezi s:

kršitvijo obveznosti obdelovalca v skladu s to pogodbo,
malomarnostjo obdelovalca ali namerno povzročeno škodo,
izdajami osebnih podatkov, kot je določeno v veljavni zakonodaji ali drugimi incidenti, ki so bili posledica, ali je verjetno, da bodo nastali kot posledica naključnega, nepooblaščenega ali nezakonitega uničenja, izgube, spremembe ali razkritja podatkov upravljavca ali drugih podatkov pod nadzorom obdelovalca, če zaradi takšnega incidenta lahko pride do škode za upravljavca.

9. člen
Druge obveznosti obdelovalca

Obdelovalec z ustreznimi tehničnimi in organizacijskimi ukrepi v okviru svojih zmožnosti pomaga upravljavcu pri izpolnjevanju njegovih obveznosti v zvezi z uresničevanjem pravic posameznikov na katere se nanašajo osebni podatki, predvsem a ne samo, pri oblikovanju preglednih informacij in sporočil v zvezi z obdelavo osebnih podatkov ter pri uresničevanju pravic posameznika do dostopa podatkov, ki se nanj nanašajo, do popravka, do izbrisa oziroma pozabe, do omejitve obdelave, do prenosljivosti podatkov, do ugovora ter v zvezi z avtomatiziranim odločanjem na podlagi profila.

Obdelovalec ob upoštevanju narave obdelave informacij, ki so mu dostopne pomaga upravljavcu pri izpolnjevanju obveznosti, ki izhajajo iz Splošne uredbe o varstvu osebnih podatkov, predvsem pri izvajanju ustreznih ukrepov za zavarovanje osebnih podatkov, pri uradnem obveščanju nadzornega organa o kršitvi varstva osebnih podatkov, pri sporočanju, da je prišlo do kršitve varstva osebnih podatkov, posameznikom na katere se ti podatki nanašajo, pri izvedbi ocene učinka, pri predhodnem posvetovanju z nadzornim organom pk opravljeni oceni učinka v zvezi z varstvom osebnih podatkov.

Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja, najkasneje pa v roku 48 ur o tem obvesti upravljavca.

10. člen
Trajanje obdelave

Obdelovalec bo osebne podatke upravljavca obdeloval le v času veljavnosti te pogodbe in le toliko časa kolikor bi jih smel upravljavec.

Upravljavec o prenehanju pravne podlage za obdelavo osebnih podatkov po tej pogodbi nemudoma, najkasneje pa v roku 72 ur obvesti obdelovalca.

11. člen
Ukrepi ob prenehanju obdelave

Obdelovalec po navodilu upravljavca, ob oziroma po prenehanju obdelave osebnih podatkov po tej pogodbi, vrne vse podatke v razumnem času vendar najkasneje v 30 dneh oziroma v roku, ki ga pogodbeni stranki dogovorita,  po prenehanju opravljanja storitev obdelave osebnih podatkov po tej pogodbi oziroma ob prenehanju izvajanja storitev po pogodbi iz 1. odstavka 1. člena te pogodbe ob pogoju, da so s strani upravljavca poravnane vse obveznosti do obdelovalca v skladu s pogodbo iz 1. odstavka 1. člena te pogodbe – krovna pogodba.

Obdelovalec v roku iz prejšnjega odstavka morebitne kopije osebnih podatkov nepovratno uniči, razen v kolikor jih je v skladu z veljavno zakonodajo dolžan hraniti dlje.

12. člen
Spremembe pogodbe

Spremembe te pogodbe pogodbeni stranki določita v pisni obliki z aneksom k tej pogodbi.

13. člen
Reševanje sporov

Pogodbeni stranki bosta spore iz te pogodbe reševali sporazumno, v kolikor pa to ne bo mogoče je za reševanje pristojno stvarno pristojno sodišče po sedežu upravljavca.

14. člen
Veljavnost pogodbe

Ta pogodba začne veljati z dnem podpisa obeh pogodbenih strank. Pogodba je napisana v dveh enakih izvodih, od katerih prejme vsaka pogodbena stranka po en podpisan izvod.

Pogodbeno razmerje traja dokler traja pogodba iz 1. odstavka 1. člena te pogodbe.