Ta Pogodba o obdelavi podatkov (»Pogodba« ali »DPA«) je sestavni del pogodbe med vami (»Stranka«) in podjetjem Appolius d.o.o. (v nadaljevanju »mi«, »nas« ali »naš«) za uporabo storitve SOPX (»Glavna pogodba«). Uporablja se vedno, kadar pri zagotavljanju SOPX v vašem imenu obdelujemo osebne podatke in vi nastopate kot upravljavec teh osebnih podatkov v smislu Splošne uredbe EU o varstvu podatkov 2016/679 (»GDPR«) ali primerljive zakonodaje o varstvu podatkov.
Z ustanovitvijo Glavne pogodbe se šteje, da ste vi in mi sklenili to DPA. Ločen podpis ni potreben.
1. Vloge in obseg
Za namene te DPA ste vi upravljavec, mi pa obdelovalec v zvezi z osebnimi podatki, ki jih vi, vaši končni uporabniki ali vaši pooblaščeni zastopniki oddate v SOPX (»Osebni podatki Stranke«). Osebne podatke Stranke obdelujemo izključno za zagotavljanje in podporo storitve SOPX, v skladu z vašimi navodili in to DPA.
2. Predmet in podrobnosti obdelave
Predmet, trajanje, narava, namen, vrste osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, so opisani v Prilogi 1 spodaj.
3. Navodila Stranke
Osebne podatke Stranke obdelujemo izključno na podlagi vaših dokumentiranih navodil, razen kadar to zahteva veljavna zakonodaja. Glavna pogodba, ta DPA ter konfiguracija in uporaba storitve SOPX predstavljajo vaša popolna in dokončna navodila nam. Če menimo, da navodilo krši GDPR ali drugo veljavno zakonodajo o varstvu podatkov, vas o tem obvestimo.
4. Zaupnost
Zagotavljamo, da so osebe, pooblaščene za obdelavo Osebnih podatkov Stranke, zavezane k ustreznim obveznostim varovanja zaupnosti.
5. Varnostni ukrepi
Izvajamo in vzdržujemo tehnične in organizacijske ukrepe, navedene v Prilogi 2 spodaj, za zaščito Osebnih podatkov Stranke pred nepooblaščeno ali nezakonito obdelavo, nenamerno izgubo, uničenjem, poškodbo, spremembo ali razkritjem. Te ukrepe lahko občasno posodobimo, pod pogojem, da se raven zaščite ne zmanjša.
6. Pod-obdelovalci
Podelite nam splošno pooblastilo za vključitev pod-obdelovalcev za pomoč pri zagotavljanju storitve SOPX. Za delovanje katerega koli pod-obdelovalca, ki ga vključimo, ostajamo odgovorni vam. Vsak pod-obdelovalec, ki ga vključimo, je podvržen pogojem o varstvu podatkov, ki niso manj zaščitniški od tistih iz te DPA, kolikor se nanašajo na storitve, ki jih opravlja.
Aktualen seznam imenovanih pod-obdelovalcev je na voljo na pisno zahtevo na [email protected].
Če dodamo novo kategorijo pod-obdelovalca ali zamenjamo obstoječega pod-obdelovalca, vas o tem razumno predhodno obvestimo. Spremembi lahko v dobri veri pisno ugovarjate v štirinajstih (14) dneh od obvestila. Če ugovarjate, si bomo v dobri veri prizadevali najti izvedljivo alternativo; če v razumnem roku ni mogoče doseči dogovora o alternativi, lahko za prizadeti del storitve SOPX odstopite od pogodbe.
7. Pomoč pri pravicah posameznikov, na katere se nanašajo osebni podatki
Zagotavljamo razumno pomoč, da se omogoči odgovor na zahteve posameznikov, na katere se nanašajo osebni podatki, ki uveljavljajo svoje pravice po veljavni zakonodaji o varstvu podatkov, vključno s pravicami do dostopa, popravka, izbrisa, omejitve, prenosljivosti in ugovora. Kjer je to izvedljivo, se ta pomoč zagotavlja prek samopostrežnih funkcij produkta SOPX (na primer izvoz vsebine in brisanje računa). Če se posameznik z zahtevo, ki se nanaša na vaše Osebne podatke Stranke, neposredno obrne na nas, ga napotimo na vas.
8. Obvestilo o kršitvi varstva osebnih podatkov
O kršitvi varstva osebnih podatkov, ki vpliva na Osebne podatke Stranke, vas obvestimo brez nepotrebnega odlašanja in v vsakem primeru v sedeminsedemdesetih (72) urah po tem, ko za kršitev izvemo. Obvestilo bo, kolikor je takrat znano, vsebovalo naravo kršitve, kategorije in približno število prizadetih posameznikov in zapisov, verjetne posledice ter ukrepe, ki so bili ali bodo sprejeti za odpravo kršitve.
9. Revizije
Ne pogosteje kot enkrat v dvanajstih (12) mesecih in ob najmanj tridesetih (30) dneh predhodnega pisnega obvestila lahko zahtevate razumno dokumentacijo, ki dokazuje našo skladnost s to DPA. Na vašo zahtevo bomo odgovorili v razumnem roku in zagotovili odgovore, povzetke varnostne dokumentacije ali poročila tretjih oseb (kjer so na voljo), kot je primerno. Revizije na lokaciji niso potrebne, razen kadar to zahteva pristojni nadzorni organ. Vsaka revizija mora potekati tako, da nerazumno ne ovira našega poslovanja in da se zaščiti zaupnost informacij naših drugih strank.
10. Vrnitev ali izbris Osebnih podatkov Stranke
Ob prenehanju ali poteku Glavne pogodbe in razen kadar hramba zahteva veljavna zakonodaja Osebne podatke Stranke izbrišemo v tridesetih (30) dneh. Varnostne kopije se izbrišejo v skladu z našim rednim ciklom hrambe varnostnih kopij. Obračunsko, računovodsko in davčno dokumentacijo hranimo, kot to zahteva slovenska davčna in računovodska zakonodaja.
11. Mednarodni prenosi podatkov
V kolikor zagotavljanje SOPX vključuje prenos Osebnih podatkov Stranke iz Evropskega gospodarskega prostora, Združenega kraljestva ali Švice v tretjo državo, ki je ne pokriva odločitev o ustreznosti, se Standardne pogodbene klavzule, ki jih je sprejela Evropska komisija z Izvedbenim sklepom (EU) 2021/914, Modul 3 (obdelovalec do pod-obdelovalca), s sklicem vključujejo v to DPA in se štejejo za sklenjene med nami in zadevnim pod-obdelovalcem v vašem imenu. Kjer so SCC potrebne med vami (kot upravljavcem) in nami (kot obdelovalcem), se s sklicem vključuje Modul 2 (upravljavec do obdelovalca) in se šteje za sklenjenega med vami in nami. Izbirne klavzule niso izbrane; izbira nadzornega organa je nadzorni organ države članice Evropske unije, v kateri imate sedež, ali, če nimate sedeža v EU, nadzorni organ Republike Slovenije.
12. Odgovornost
Odgovornost vsake stranke po tej DPA ali v zvezi z njo je predmet omejitev in izključitev odgovornosti, določenih v Glavni pogodbi.
13. Vrstni red prednosti
V primeru kakršnega koli neskladja med Glavno pogodbo, to DPA in SCC (kjer se uporabljajo) imajo prednost SCC v zvezi z zadevami, ki jih urejajo, nato ta DPA, nato Glavna pogodba.
Priloga 1 — Opis obdelave
| Predmet | Zagotavljanje storitve SOPX Stranki, vključno z AI podprtim ustvarjanjem, hrambo in deljenjem standardnih operativnih postopkov iz izvornih gradiv, ki jih zagotovi Stranka. |
| Trajanje | Trajanje Glavne pogodbe, vključno z morebitnim obdobjem po prenehanju, potrebnim za vrnitev ali izbris Osebnih podatkov Stranke. |
| Narava in namen obdelave | Gostovanje, prenos, AI obdelava (prepis, analiza vsebin, ustvarjanje), hramba, priklic, deljenje pod nadzorom Stranke, brisanje. |
| Vrste osebnih podatkov | Podatki o računu uporabnikov Stranke (ime, e-naslov, organizacija, vloga); vsebinski podatki, ki jih oddajo uporabniki Stranke (lahko vključujejo slike posameznikov, glasovne posnetke, imena, informacije o vlogah, vidne v izvornih gradivih); podatki o uporabi in dnevniški podatki. |
| Kategorije posameznikov, na katere se nanašajo osebni podatki | Zaposleni in pooblaščeni končni uporabniki Stranke; posamezniki, ki se pojavljajo ali govorijo v izvornih gradivih, ki jih Stranka naloži; prejemniki SOP-jev, s katerimi jih Stranka deli. |
| Pogostost | Stalna med trajanjem Glavne pogodbe. |
Priloga 2 — Tehnični in organizacijski ukrepi
Vzdržujemo ukrepe, namenjene zagotavljanju ravni varnosti, primerne tveganju, ki ga predstavlja obdelava Osebnih podatkov Stranke, vključno z naslednjimi:
- Šifriranje pri prenosu. Vse povezave do storitve SOPX uporabljajo TLS 1.2 ali višje.
- Šifriranje v mirovanju. Osebni podatki Stranke so šifrirani v mirovanju na ravni shrambe.
- Nadzor dostopa. Dostop do produkcijskih sistemov in Osebnih podatkov Stranke je omejen na pooblaščeno osebje na podlagi načela najmanjših privilegijev. Dostop zahteva edinstvene poverilnice in se redno pregleduje.
- Avtentikacija. Produkt SOPX podpira avtentikacijo z geslom (gesla so shranjena v zgoščeni obliki) in izbirno prijavo z Google ali Microsoft računom.
- Varnostne kopije. Osebni podatki Stranke se redno varnostno kopirajo. Varnostne kopije so šifrirane v mirovanju in se hranijo po določenem ciklu.
- Beleženje in nadzor. Administrativni dostop do produkcijskih sistemov se beleži. Dnevniki se pregledujejo glede neobičajnih dejavnosti.
- Nadzor pod-obdelovalcev. Pod-obdelovalce vključujemo samo, kadar so podvrženi pogojem o varstvu podatkov, primernim njihovi vlogi.
- Odzivanje na incidente. Vzdržujemo postopke za odzivanje na sumljive varnostne incidente in kršitve varstva osebnih podatkov, vključno z obvestilom Stranki v skladu z 8. členom.
- Osebje. Osebje z dostopom do Osebnih podatkov Stranke je zavezano k obveznostim varovanja zaupnosti in prejme navodila o ustreznem ravnanju z osebnimi podatki.
Te ukrepe lahko občasno posodobimo, pod pogojem, da se splošna raven zaščite Osebnih podatkov Stranke ne zmanjša.