Dodatek k

obdelavi naročil Ta pravila za obdelavo naročil dopolnjujejo Splošne pogoje poslovanja družbe Jungherz GmbH kot upravljavca blagovne znamke AppConfector (v nadaljevanju »izvajalec«). Ker so ta pravila neločljivo povezana s Splošnimi pogoji poslovanja, se vi kot stranka (v nadaljevanju »naročnik«) v okviru poslovnega odnosa samodejno strinjate s tem dodatkom. V primeru nasprotja med temi določili in splošnimi pogoji imajo ta določila prednost pri obdelavi naročil.

Izvajalec in stranka se v nadaljevanju imenujeta s skupnim izrazom »stranki«.

Stranki se strinjata, da se ob začetku veljavnosti te pogodbe o obdelavi po naročilu obstoječa pogodba o obdelavi podatkov po naročilu med strankama v skladu s 11. členom nemškega zveznega zakona o varstvu podatkov ter vse druge pogodbe o obdelavi podatkov po naročilu po medsebojnem soglasju razveljavijo in nadomestijo s to novo pogodbo o obdelavi po naročilu.

1. Splošno

(1) Obdelovalec obdeluje osebne podatke v imenu naročnika v smislu člena 4 št. 8 in člena 28 Uredbe (EU) 2016/679 – Splošne uredbe o varstvu podatkov (GDPR). Ta pogodba ureja pravice in obveznosti pogodbenih strank v zvezi z obdelavo osebnih podatkov.

(2) Kolikor se v tej pogodbi uporablja izraz »obdelava podatkov« ali »obdelava« (podatkov), velja opredelitev »obdelave« v smislu člena 4(2) DSGVO.

(3) Vsi sklici v tej pogodbi na DSGVO (Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)) se nanašajo na DSGVO v njeni veljavni različici.

2. Predmet naročila

Predmet obdelave, vrsta in namen obdelave, vrsta osebnih podatkov ter kategorije posameznikov, na katere se nanašajo osebni podatki, so določeni v Prilogi 1 k tej pogodbi.

3. Pravice in dolžnosti naročnika

(1) Naročnik je odgovorna stranka v smislu člena 4(7) GDPR za obdelavo podatkov v imenu obdelovalcev. V skladu s členom 4(5) te pogodbe je slednji upravičen obvestiti naročnika, če je predmet naročila in/ali navodila obdelava podatkov, ki je po njegovem mnenju pravno nesprejemljiva.

(2) Naročnik je odgovoren za varstvo pravic posameznikov, na katere se nanašajo osebni podatki. Obdelovalec mora naročnika nemudoma obvestiti, če posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svoje pravice v zvezi z osebnimi podatki proti obdelovalcu.

(3) Naročnik ima pravico, da obdelovalcu kadar koli izda dodatna navodila glede vrste, obsega in postopka obdelave podatkov. Navodila se lahko dajo v pisni obliki (npr. po e-pošti).

(4) Določbe o morebitnem nadomestilu dodatnih stroškov, ki jih ima obdelovalec zaradi dodatnih navodil naročnika, ostanejo nespremenjene.

5. Naročnik mora obdelovalca nemudoma obvestiti, če ugotovi napake ali nepravilnosti v zvezi z obdelavo osebnih podatkov s strani obdelovalca.

(6) V primeru obveznosti obveščanja tretjih oseb v skladu s členoma 33 in 34 GDPR ali katere koli druge pravne obveznosti obveščanja, ki velja za naročnika, je naročnik odgovoren za izpolnjevanje te obveznosti.

4. Splošne obveznosti obdelovalca

(1) Obdelovalec obdeluje osebne podatke izključno v okviru sklenjenih pogodb in/ali v skladu z morebitnimi dodatnimi navodili naročnika. Izjema so pravni predpisi, ki lahko obdelovalca zavezujejo k drugačni obdelavi podatkov. V takem primeru mora obdelovalec naročnika pred obdelavo obvestiti o teh pravnih zahtevah, razen če zadevni zakon takšno obvestilo prepoveduje zaradi pomembnega javnega interesa. Namen, narava in obseg obdelave podatkov se sicer urejajo izključno s to pogodbo in/ali navodili naročnika. Vsaka obdelava podatkov, ki od tega odstopa, je obdelovalcu prepovedana, razen če je obdelovalec dal pisno soglasje

. (2) Obdelovalec se zavezuje, da bo obdelavo podatkov v imenu naročnika izvajal le znotraj Evropskega gospodarskega prostora, razen če je tehnično potrebno drugače.

(3) Na področju obdelave osebnih podatkov v skladu z naročilom obdelovalec zagotavlja pogodbeno izvedbo vseh dogovorjenih ukrepov.

(4) Obdelovalec je dolžan svojo družbo in svoje postopke delovanja oblikovati tako, da so podatki, ki jih obdelovalec obdeluje v imenu naročnika, zavarovani v obsegu, ki je v vsakem posameznem primeru potreben, in zaščiteni pred nepooblaščenim dostopom tretjih oseb. Obdelovalec mora vnaprej dogovoriti s naročnikom spremembe v organizaciji obdelave podatkov v imenu naročnika, ki so pomembne za varnost podatkov.

(5) Obdelovalec mora naročnika nemudoma obvestiti, če po njegovem mnenju navodilo, ki ga je izdal naročnik, krši zakonske predpise. Obdelovalec je upravičen, da začasno ustavi izvajanje zadevnega navodila, dokler ga naročnik ne potrdi ali spremeni. Če obdelovalec lahko dokaže, da bi obdelava v skladu z navodili naročnika lahko povzročila odgovornost obdelovalca v skladu s členom 82 GDPR, je obdelovalec upravičen, da v zvezi s tem začasno ustavi nadaljnjo obdelavo do pojasnitve odgovornosti med strankama.

(6) Obdelava podatkov v

imenu

naročnika zunaj poslovnih prostorov obdelovalca ali podizvajalca je dovoljena le s pisnim ali tekstovnim soglasjem naročnika. Obdelava podatkov za naročnika v zasebnih domovih je dovoljena le s pisnim ali tekstovnim soglasjem naročnika v posameznih primerih.

(7) Obdelovalec bo podatke, ki jih obdeluje v imenu naročnika, obdeloval ločeno od drugih podatkov. Fizična ločitev ni obvezna.

5.

Pooblaščenec

za varstvo podatkov obdelovalca

(1) Obdelovalec potrjuje, da je imenoval pooblaščenca za varstvo podatkov v skladu s členom 37 GDPR. Obdelovalec mora zagotoviti, da ima pooblaščenec za varstvo podatkov potrebne kvalifikacije in strokovno znanje. Obdelovalec mora naročnika ločeno v pisni obliki obvestiti o imenu in kontaktnih podatkih svojega pooblaščenca za varstvo podatkov.

(2) Od obveznosti imenovanja pooblaščenca za varstvo podatkov v skladu z odstavkom 1 se lahko po lastni presoji naročnika odstopi, če obdelovalec dokaže, da ni zakonsko zavezan k imenovanju pooblaščenca za varstvo podatkov, in če obdelovalec dokaže, da obstajajo operativni ukrepi, ki zagotavljajo, da se osebni podatki obdelujejo v skladu z zakonskimi določbami, določbami te pogodbe in morebitnimi dodatnimi navodili naročnika.

6. Obveznosti poročanja obdelovalca

(1) Obdelovalec je dolžan nemudoma obvestiti naročnika o vsaki kršitvi predpisov o varstvu podatkov ali sklenjenih pogodbenih dogovorov in/ali navodil naročnika, ki se je zgodila med obdelavo podatkov s strani njega ali drugih oseb, vključenih v obdelavo. Enako velja za vsako kršitev varstva osebnih podatkov, ki jih obdelovalec obdeluje v imenu naročnika.

(2) Poleg tega mora obdelovalec nemudoma obvestiti naročnika, če nadzorni organ v skladu s členom 58 GDPR sprejme ukrepe proti obdelovalcu in če to lahko zadeva tudi nadzor obdelave, ki jo obdelovalec izvaja v imenu naročnika.

(3) Obdelovalec se zaveda, da za naročnika lahko velja obveznost obveščanja v skladu s členoma 33 in 34 GDPR, ki predvidevata obvestilo nadzornemu organu v 72 urah od odkritja. Obdelovalec mora naročniku pomagati pri izpolnjevanju obveznosti obveščanja. Obdelovalec mora naročnika zlasti nemudoma, najpozneje pa v 48 urah od ugotovitve takšnega dostopa, obvestiti o vsakem nepooblaščenem dostopu do osebnih podatkov, ki se obdelujejo v imenu naročnika. Obvestilo obdelovalca naročniku mora vsebovati zlasti naslednje informacije:

  • opis narave kršitve varstva osebnih podatkov, po možnosti z navedbo kategorij in približnega števila prizadetih oseb, zadevnih kategorij in približnega števila zadevnih zapisov osebnih podatkov;
  • opis ukrepov, ki jih je obdelovalec sprejel ali predlagal za odpravo kršitve varstva osebnih podatkov, in, kadar je to primerno, ukrepov za ublažitev morebitnih škodljivih učinkov.

7. Obveznosti obdelovalca po naročilu glede sodelovanja

(1) Obdelovalec po naročilu mora podpirati naročnika pri izpolnjevanju njegove obveznosti odgovarjanja na zahtevke za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s členi 12–23 GDPR. Uporabljajo se določbe 11. člena te pogodbe.

(2) Obdelovalec mora sodelovati pri sestavljanju seznamov dejavnosti obdelave s strani naročnika. Obdelovalec mora naročniku na primeren način zagotoviti potrebne informacije.

(3) Ob upoštevanju vrste obdelave in informacij, ki so mu na voljo, mora obdelovalec naročniku pomagati pri izpolnjevanju obveznosti iz členov 32–36 DPA.

(4) Obdelovalec ima pravico od naročnika zahtevati ustrezno nadomestilo za stroške za te storitve.

8. Nadzorne pristojnosti

(1) Naročnik ima pravico kadarkoli v potrebnem obsegu preveriti, ali obdelovalec upošteva zakonske določbe o varstvu podatkov in/ali pogodbene določbe, dogovorjene med strankama, ter ali obdelovalec upošteva navodila naročnika.

Dokaz o izpolnjevanju obveznosti, ki jih ima obdelovalec v skladu z GDPR, morajo v prvi vrsti zagotoviti neodvisna poročila o preskusih in certifikacije.

Če ima naročnik na podlagi dejanskih dokazov utemeljene dvome, da so poročila o preskusih ali certifikati nezadostni ali nepravilni, ali če to upravičujejo posebni dogodki v smislu člena 33(1) GDPR v zvezi z izvajanjem obdelave naročila naročnika, lahko naročnik opravi inšpekcijske preglede v skladu s členom 8(2).

(2) Da bi naročniku omogočili izvedbo inšpekcijskega pregleda naročila in zlasti preverjanje tehničnih in organizacijskih ukrepov, sprejetih pri pooblaščenem obdelovalcu pred začetkom in redno med obdelavo podatkov, mora pooblaščeni obdelovalec dovoliti inšpekcijski pregled s strani nevtralne tretje osebe (zapriseženega revizorja), ki jo pooblasti naročnik. Pooblaščeni obdelovalec je upravičen določiti datume za inšpekcijski pregled v skladu z operativnimi možnostmi. Pregled mora biti omogočen v razumnem roku po zahtevi. Alternativno lahko obdelovalec pravico naročnika do pregleda izpolni tudi s predložitvijo poročila o pregledu, ki ga v imenu obdelovalca pripravi neodvisni, zapriseženi revizor. Uveljavljanje pravice do pregleda ne sme neupravičeno motiti poslovnega delovanja obdelovalca ali biti zlorabno.

(3) Obdelovalec naročila je upravičen zahtevati od naročnika razumno nadomestilo za preglede v smislu točke 8. (2).

9. Deleži podizvajalcev

(1) Podizvajalce lahko obdelovalec naročila vključi le s pisnim soglasjem naročnika. Obdelovalec naročila mora v Prilogi 2 k tej pogodbi navesti vse podizvajalske odnose, ki že obstajajo ob sklenitvi pogodbe.

(2) Izvajalec mora podizvajalca skrbno izbrati in pred oddajo naročila preveriti, ali je podizvajalec sposoben izpolniti dogovore, sklenjene med naročnikom in izvajalcem. Podizvajalec mora zlasti vnaprej in redno med trajanjem pogodbe preveriti, ali je sprejel tehnične in organizacijske ukrepe, potrebne v skladu s členom 32 GDPR za varstvo osebnih podatkov. Podizvajalec mora rezultat preverjanja dokumentirati in ga na zahtevo dati na voljo naročniku.

(3) Obdelovalec je dolžan od podizvajalca pridobiti potrditev, da je ta imenoval pooblaščenca za varstvo podatkov v podjetju v skladu s členom 37 GDPR. V primeru, da podizvajalec ni imenoval pooblaščenca za varstvo podatkov, mora obdelovalec o tem obvestiti naročnika in predložiti informacije, iz katerih je razvidno, da podizvajalec ni zakonsko dolžan imenovati pooblaščenca za varstvo podatkov.

(4) Obdelovalec

mora

zagotoviti, da se določbe, dogovorjene v tej pogodbi, in morebitna dodatna navodila naročnika uporabljajo tudi za podizvajalca.

(5) Obdelovalec mora s podizvajalcem skleniti pogodbo, ki je v skladu z zahtevami člena 28 GDPR. Poleg tega mora obdelovalec podizvajalcu naložiti enake obveznosti glede varstva osebnih podatkov, kot so bile določene med naročnikom in obdelovalcem.

(6) Stranka, ki obdeluje naročilo, je zlasti dolžna s pogodbenimi določbami zagotoviti, da se nadzorne pristojnosti (8. člen te pogodbe) naročnika in nadzornih organov nanašajo tudi na podizvajalca ter da so ustrezne nadzorne pravice dogovorjene med naročnikom in nadzornimi organi. Poleg tega je pogodbeno dogovorjeno, da podizvajalec dopušča te nadzorne ukrepe in morebitne inšpekcijske preglede na kraju samem.

(7) Podizvajalska razmerja v smislu odstavkov 1 do 6 se ne štejejo za storitve, ki jih obdelovalec pridobi od tretjih oseb kot povsem pomožne storitve za izvajanje poslovne dejavnosti. Takšne storitve vključujejo na primer storitve čiščenja, čiste telekomunikacijske storitve brez posebnega sklicevanja na storitve, ki jih obdelovalec opravlja za naročnika, poštne in kurirske storitve, prevozne storitve ter varnostne storitve. Obdelovalec je kljub temu dolžan zagotoviti, tudi v primeru pomožnih storitev, ki jih opravljajo tretje osebe, da so bili sprejeti ustrezni varnostni ukrepi ter tehnični in organizacijski ukrepi za zagotovitev varstva osebnih podatkov. Vzdrževanje in servisiranje informacijskih sistemov ali aplikacij predstavlja podizvajalsko razmerje in obdelavo po naročilu v smislu člena 28 DSGVO, ki zahteva odobritev, če vzdrževanje in testiranje zadeva takšne IT-sisteme, ki se uporabljajo tudi v povezavi z zagotavljanjem storitev za naročnika, in če je med vzdrževanjem mogoč dostop do osebnih podatkov

, ki

se obdelujejo v

imenu

naročnika.

10. Obveznost varovanja

tajnosti (1) Pri obdelavi podatkov v imenu naročnika je obdelovalec dolžan varovati tajnost podatkov, ki jih prejme ali o katerih izve v povezavi z naročilom. Obdelovalec se zavezuje, da bo upošteval enaka pravila

varovanja

tajnosti, kot veljajo za naročnika. Naročnik je dolžan obdelovalca obvestiti o morebitnih posebnih pravilih varovanja tajnosti.

(2) Obdelovalec zagotavlja, da je seznanjen z veljavnimi predpisi o varstvu podatkov in da je seznanjen z njihovo uporabo. Izvajalec nadalje jamči, da je svoje zaposlene seznanil z določbami o varstvu podatkov, ki veljajo zanje, in jih zavezal k varovanju tajnosti. Izvajalec nadalje jamči, da je zlasti svoje zaposlene, vključene v izvajanje dela, zavezal k varovanju zaupnosti in jih seznanil z navodili naročnika.

(3) Obveznost zaposlenih v skladu z odstavkom 2 je treba naročniku na zahtevo dokazati.

11. Varstvo pravic posameznikov, na katere se nanašajo osebni podatki

(1) Naročnik je izključno odgovoren za varstvo pravic posameznikov, na katere se nanašajo osebni podatki. Obdelovalec je dolžan podpirati naročnika pri izpolnjevanju njegove obveznosti obdelave zahtevkov posameznikov, na katere se nanašajo osebni podatki, v skladu s členi 12–23 GDPR. Obdelovalec mora zlasti zagotoviti, da se naročniku nemudoma posredujejo v zvezi s tem potrebne informacije, da lahko naročnik izpolni svoje obveznosti iz člena 12(3) GDPR.

(2) Če je sodelovanje pooblaščenega obdelovalca potrebno za zaščito pravic posameznikov, na katere se nanašajo osebni podatki – zlasti pravice do obveščanja, popravka, blokiranja ali izbrisa – s strani naročnika, mora pooblaščeni obdelovalec sprejeti ustrezne potrebne ukrepe v skladu z navodili naročnika. Če je mogoče, mora obdelovalec podatkov naročniku pomagati z ustreznimi tehničnimi in organizacijskimi ukrepi, da lahko izpolni svojo obveznost odgovarjanja na zahteve za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki. Obdelovalec ima pravico od naročnika zahtevati razumno plačilo za te storitve.

(3) To ne vpliva na morebitne določbe o morebitnem nadomestilu dodatnih stroškov, ki jih je obdelovalec na podlagi naročila imel zaradi storitev sodelovanja v zvezi z uveljavljanjem pravic posameznikov, na katere se nanašajo osebni podatki, do naročnika.

12.

Obveznosti

varovanja tajnosti

(1) Obe stranki se zavezujeta, da bodo vse informacije, prejete v zvezi z izvajanjem te pogodbe, obravnavali kot zaupne za nedoločen čas in jih uporabljali izključno za izvajanje pogodbe. Nobena stranka nima pravice, da te informacije v celoti ali delno uporabi za namene, ki niso navedeni zgoraj, ali da te informacije posreduje tretjim osebam.

(2) Zgoraj navedena obveznost ne velja za informacije, ki jih je ena od pogodbenih strank dokazljivo prejela od tretjih oseb, ne da bi bila zavezana k varovanju tajnosti, ali za informacije, ki so javno znane.

13. Obdelava

Obdelovalec za to pogodbo ne prejme posebnega plačila.

14. Tehnični in organizacijski ukrepi za varnost podatkov

(1) Obdelovalec se do naročnika zavezuje, da bo upošteval tehnične in organizacijske ukrepe, potrebne za izpolnjevanje veljavnih predpisov o varstvu podatkov. To vključuje zlasti zahteve člena 32 GDPR.

(2) Stanje tehničnih in organizacijskih ukrepov, ki obstajajo ob sklenitvi pogodbe, je priloženo tej pogodbi kot Priloga 3. Stranki se strinjata, da so spremembe tehničnih in organizacijskih ukrepov lahko potrebne zaradi prilagajanja tehničnim in pravnim pogojem. O pomembnih spremembah, ki lahko vplivajo na celovitost, zaupnost ali razpoložljivost osebnih podatkov, se obdelovalec predhodno dogovori z naročnikom. Ukrepe, ki vključujejo le manjše tehnične ali organizacijske spremembe in ne vplivajo negativno na celovitost, zaupnost in razpoložljivost osebnih podatkov, lahko obdelovalec podatkov izvede brez posvetovanja z naročnikom. Naročnik lahko kadar koli zahteva najnovejšo različico tehničnih in

organizacijskih

ukrepov,

ki jih je sprejel

obdelovalec.

(3) Izvajalec redno in po potrebi preverja učinkovitost tehničnih in organizacijskih ukrepov, ki jih je sprejel. V primeru potrebe po optimizaciji in/ali spremembi mora pooblaščeni obdelovalec o tem obvestiti naročnika.

15. Trajanje naročila

(1) Pogodba začne veljati z oddajo naročila in je sklenjena za nedoločen čas.

(2) Pogodba preneha veljati z iztekom glavne pogodbe (paketa aplikacij ali katere koli storitve), brez potrebe po ločenem odpovedi.

Vse obveznosti

glede

izbrisa in vrnitve po prenehanju te pogodbe ureja 16. člen

. (3) Naročnik lahko pogodbo kadar koli odpove brez odpovednega roka, če pride do resne kršitve določb o varstvu podatkov, ki veljajo za obdelovalca, ali obveznosti iz te pogodbe, če obdelovalec ne more ali noče izvesti navodila naročnika ali če obdelovalec v nasprotju s pogodbo zavrne dostop naročniku ali pristojnemu nadzornemu organu.

16. Prekinitev

(1) Po prekinitvi pogodbe mora pooblaščeni obdelovalec po izbiri naročnika vrniti naročniku ali izbrisati vse dokumente, podatke in ustvarjene rezultate obdelave ali uporabe, ki so prišli v njegovo posest v zvezi s pogodbenim razmerjem. Izbris je treba ustrezno dokumentirati. Morebitne zakonske obveznosti hrambe ali druge obveznosti shranjevanja podatkov ostanejo nespremenjene. V primeru nosilcev podatkov je treba te uničiti v primeru izbrisa, ki ga zahteva naročnik, pri čemer je treba upoštevati vsaj varnostno stopnjo 3 po standardu DIN 66399; naročnik mora predložiti dokazilo o uničenju s sklicem na varnostno stopnjo v skladu s standardom DIN 66399.

(2) Naročnik ima pravico nadzirati popolno in pogodbeno vrnitev ter izbris podatkov pri pooblaščenem obdelovalcu. To se lahko opravi tudi z inšpekcijo opreme za obdelavo podatkov v prostorih izvajalca. Naročnik mora inšpekcijo na kraju samem napovedati v razumnem roku.

17. Pravica do zadržanja

Stranki se strinjata, da je uveljavljanje pravice do zadržanja s strani izvajalca v smislu § 273 BGB (nemški civilni zakonik) v zvezi z obdelanimi podatki in pripadajočimi nosilci podatkov izključeno.

18. Zaključne določbe

(1) Če je lastnina naročnika v prostorih obdelovalca ogrožena zaradi ukrepov tretjih oseb (kot so zaseg ali zaplemba), zaradi stečajnega postopka ali drugih dogodkov, mora obdelovalec o tem nemudoma obvestiti naročnika. Obdelovalec mora upnike nemudoma obvestiti o dejstvu, da se podatki obdelujejo v okviru naročila.

(2) Za stranske dogovore je potrebna pisna oblika.

(3) Če so posamezni deli te pogodbe neveljavni, to ne vpliva na veljavnost preostalih določb pogodbe.

Priloga 1 – Predmet naročila

1. Predmet in namen obdelave

Naročilo naročnika obdelovalcu obsega naslednja dela in/ali storitve: Zagotavljanje mobilnih aplikacij (podrobneje opisano v veljavnem opisu storitev) ter spletnih strani s podobno vsebino. To vključuje zbiranje, obdelavo in posredovanje zabeleženih podatkov.

2. Vrsta(-e) osebnih podatkov

Redno se obdelujejo naslednje vrste podatkov: Podatki o prometu, podatki o vsebini, kontaktni podatki, osebni matični podatki in komunikacijski podatki (ime, naslov, telefonska številka, številka faksa, e-poštni naslov).

3. Krog prizadetih oseb

Krog oseb, na katere se nanaša obdelava podatkov: Uporabniki vašega računa, klicatelji in klicani udeleženci ali pošiljatelji/prejemniki SMS-ov/faksov, zaposleni, stranke, poslovni partnerji, zainteresirane stranke in ponudniki storitev naročnika.

Če je naročnik partner obdelovalca: Kontaktni, osebni in komunikacijski podatki (ime, naslov, telefonska številka, številka faksa, e-poštni naslov) izvajalcev/podjetij, ki jih je napotil partner, ki je oddal naročilo.

Naročnik je dolžan obvestiti uporabnike računa in – če je to potrebno – delavski svet ali primerljive predstavnike o obdelavi podatkov iz točke 2.

4. Kraj obdelave podatkov:

Vsi podatki se obdelujejo na strežnikih znotraj Evropskega gospodarskega prostora.

Priloga 2 – Podizvajalec

Za obdelavo podatkov v imenu naročnika obdelovalec uporablja storitve tretjih oseb, ki obdelujejo podatke v njegovem imenu („podizvajalci“).

Obdelovalec za zagotavljanje svojih storitev uporablja različne podizvajalce.

Ti podizvajalci so sprva naslednja podjetja obdelovalca in opravljajo pripravljalna dela za izvedbo storitev obdelovalca. Med podjetji so sklenjeni potrebni pogodbeni dogovori za obdelavo teh podatkov.

To so naslednja podjetja:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Francija

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irska

Priloga 3 – Tehnični in organizacijski ukrepi izvajalca obdelave

Obdelovalec naročil mora sprejeti naslednje tehnične in organizacijske ukrepe za varnost podatkov v smislu člena 32 GDPR.

1. Zaupnost

Nadzor dostopa

Da bi preprečili nepooblaščen dostop do sistemov za obdelavo podatkov, s katerimi se podatki obdelujejo ali uporabljajo, so obdelovalec in njegovi podizvajalci, kot sta Netcup in oddelek Google Cloud, uvedli obsežne formalne postopke nadzora dostopa.

V uporabljenih lokacijah se nahajajo strežniške sobe in soba s strežniško tehnologijo. Za dostop se izbranim zaposlenim podizvajalca izdajo elektronski ključi. Ključi pooblaščajo zadevnega zaposlenega podizvajalca le za odpiranje/zapiranje posameznih vrat, ki so bila odobrena za ta namen. Vse operacije odpiranja in zapiranja s ključem se elektronsko beležijo skupaj z edinstveno identifikacijsko številko ključa. Za upravljanje ključev so odgovorni le zaposleni podizvajalca, ki jih je neposredno pooblastilo vodstvo.

Strežniška soba je ves čas zaklenjena in vanjo lahko vstopajo le izbrani zaposleni

podizvajalca

.

Znotraj stavbe zadevne lokacije so dostopne pravice zaposlenih podizvajalca – tudi tistih, ki imajo ključ – omejene na obseg, ki je nujen za izvedbo konkretne naloge.

Med delovnim časom se na stalno zasedeni recepciji izvaja pregled oseb, ki vstopajo v stavbo. Zunaj delovnega časa so vsi vhodi v stavbo zaklenjeni in zavarovani z alarmom. Stavba je dodatno zavarovana s strani varnostne službe. Vsi alarmi alarmnega sistema se sporočajo neposredno varnostni službi.

V vseh podatkovnih centrih se uporabljajo standardni varnostni ukrepi. Ti ustrezajo najnovejšim dosežkom in (najboljšim praksam) v IT-industriji. Ti vključujejo elektronske sisteme za nadzor dostopa z beleženjem, pri čemer imajo dostop do stavbe le pooblaščene osebe, alarmne sisteme, video nadzor znotraj/zunaj, varnostno osebje 24 ur na dan, 7 dni na teden, alarmne sisteme, zaščito stavbe z bodečo žico, zaščito zunanjih varnostnih služb, ki so v primeru alarma samodejno obveščene prek namenske alarmne linije.

Ključe za posamezne prostore in kletke v podatkovnem centru je treba vedno prevzeti pri varnostnem osebju.

Nadzor dostopa

Da bi zagotovili, da imajo osebe, pooblaščene za uporabo sistema za obdelavo podatkov, dostop le do podatkov, za katere imajo dostopno pooblastilo, in da shranjenih ali obdelanih podatkov ne morejo brati, kopirati, spreminjati ali odstranjevati nepooblaščene osebe, obdelovalec uporablja centralni sistem za upravljanje dostopnih pooblastil. Vsi dostopi se shranjujejo lokalno in na centralnem strežniku za dnevnike. Upraviteljske pravice se lahko izvajajo le prek centralnega programa za upravljanje.

Dostop do vseh podatkov je omejen na obseg, ki je potreben, da lahko vse pooblaščene osebe izpolnijo svoje specifične naloge. Upoštevajo se zakonske zahteve glede varstva podatkov, zlasti tiste iz Splošne uredbe o varstvu podatkov (GDPR) in TKG.

Ločevanje

Obdelovalec obdeluje podatke na strežniških sistemih, ki so logično ločeni s sistemom logičnih in fizičnih nadzorov dostopa v omrežju.

2. Celovitost

Nadzor vnosa

Da bi obdelovalec naročil lahko naknadno preveril in ugotovil, ali so bili podatki v sistemih za obdelavo podatkov vneseni, spremenjeni ali odstranjeni ter kdo je to storil, se vsi dostopi do shranjenih podatkov stranke beležijo lokalno in na centralnem strežniku za beleženje.

Nadzor posredovanja

Da se zagotovi, da nepooblaščene osebe med elektronskim prenosom, prevozom ali shranjevanjem ne morejo brati, kopirati, spreminjati ali odstraniti podatkov ter da je mogoče preveriti, kam naj bi se podatki prenesli prek sistemov za prenos podatkov, je dostop do vseh sistemov, ki obdelujejo podatke strank, podvržen učinkovitim nadzornim mehanizmom dostopa. Ti nadzorni mehanizmi dostopa so podrobneje opisani že zgoraj v točki 3.

3. Razpoložljivost in odpornost

Obdelovalec uporablja kombinacijo redundantnih sistemov in rešitev za varnostno kopiranje v vseh sistemih, da zaščiti shranjene podatke in jih po potrebi lahko obnovi. Ti sistemi se upravljajo izključno v prostorih, ki so zavarovani in opremljeni v skladu z najnovejšim stanjem tehnike, imajo potrebne sisteme klimatizacije, požarne in dimne alarme ter za katere obstajajo podrobni načrti za izredne razmere.

4. Postopki za redni pregled, oceno in vrednotenje

Vsi naši zaposleni in zaposleni pri podizvajalcu se redno usposabljajo o vprašanjih varstva podatkov. Ta usposabljanja se izvajajo v celoti znotraj podjetja, tako da je mogoča natančna prilagoditev vprašanjem, ki so pomembna za obdelovalca naročil. Med temi usposabljanji se podrobno obravnavajo tudi posamezna vprašanja.

Vsi zaposleni pri obdelovalcu, ki pri svojem delu pridejo v stik z obdelavo osebnih podatkov, so dolžni osebne podatke obravnavati kot zaupne. To se redno izvaja ob zaposlovanju novih zaposlenih s pogodbeno izjavo o zavezanosti, ki jo mora podati vsak zaposleni.

Obdelovalec je imenoval pooblaščenca za varstvo podatkov. Pooblaščenec za varstvo podatkov skupaj s svojimi namestniki zagotavlja, da se na poizvedbe posameznikov, na katere se nanašajo osebni podatki, odgovori pravočasno.

Obdelovalec vodi register dejavnosti obdelave v smislu člena 30(1) in (2) GDPR. Ta seznam dejavnosti obdelave ni javno dostopen.

(stanje na dan 16. februarja 2022)