Prodaja:    
   
01 568 08 16

Pogodba o obdelovanju osebnih podatkov za All Hours oblačne storitve

(Verzija December 2019)

Ta pogodba o obdelovanju osebnih podatkov, skupaj s prilogami in dodatki (“DPA”) je sestavni del Splošnih pogojev uporabe Storitve All Hours ali drugega dogovora, bodisi v elektronski ali pisni obliki, za zakup storitev ŠPICA kot so naštete v Prilogi 1 DPA (v nadaljevanju: »Storitve«) (v nadaljevanju skupaj: »Krovna Pogodba«) in tvori celovito ureditev varstva Naročnikovih osebnih podatkov.

Naročnik je Upravljavec osebnih podatkov, ki so v upravljanju Storitve. Vsi pojmi uporabljeni v DPA, ki v DPA niso posebej definirani imajo enak pomen, kot je določen v Krovni Pogodbi. 

Tekom izvajanja Storitve skladno s Krovno Pogodbo lahko ŠPICA Obdeluje Osebne Podatke za račun Naročnika in tekom takšne obdelave veljajo med Naročnikom in ŠPICO tu opredeljeni pogoji.

KAKO DPA VELJA

S sklenitvijo Krovne Pogodbe stopi ta DPA v veljavo kot sestavni del Krovne Pogodbe. 

POGODBENA OBDELAVA

1. OPREDELITEV POJMOV

Odvisna družba” pomeni pravno osebo, ki posredno ali neposredno obvladuje, ali je obvladovana, ali je pod skupnim upravljenjem bodisi Naročnika ali ŠPICA. Obvladovanje pomeni neposredno ali posredno lastništvo ali nadzor nad več kot 50% glasovalnih pravic v Naročniku ali ŠPICI. 

Pooblaščena Odvisna družba” pomeni Odvisno družbo Naročnika (a) ki je predmet Zakonodaje s področja varstva osebnih podatkov v EU ali EEA, in (b) ima dovoljenje za uporabo Storitve skladno s določili Krovne Pogodbe a ni sklenila posebne/ločene pogodbe s ŠPICA.  

Upravljavec” pomeni pravno osebo, ki določa namene obdelave in način obdelave osebnih podatkov.

Naročnik” pomeni pravno osebo, ki je s ŠPICO sklenila Krovno pogodbo. 

Podatki Naročnika” pomeni elektronski podatki in informacije, ki se obdelujejo preko Storitve. 

Zakonodaja s področja varstva osebnih podatkov« pomeni vso zakonodajo v EU in EEA, ki določa regulatorni okvir obdelavo osebnih podatkov po DPA.

Posameznik” pomeni določen ali določljiv posameznik na katerega se nanašajo osebni podatki obdelovani po DPA.

GDPR” pomeni Splošno uredbo o varstvu osebnih podatkov (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

Osebni podatek” pomeni podatek, ki se nanaša na (i) Posameznika in (ii) ga obdeluje Naročnik kot Upravljavec. 

Obdelava” pomeni pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki Posameznika ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Obdelovalec” pomeni pravno osebo, ki obdeluje Osebne podatke po pooblastilu Upravljavca.

ŠPICA” pomeni Špica International d.o.o. Pot k sejmišču 33, Ljubljana.

Pod- obdelovalec” pomeni Obdelovalec, kot ga imenuje ŠPICA. 

Nadzorni organ” pomeni neodvisni javni organ poobčaščen za nadzor nad varstvom osebnih podatkov. 

2. OBDELAVA OSEBNIH PODATKOV

2.1 Vloge strank. Stranki sta soglasni, da je za namene DPA in Obdelave Osebnih Podatkov Naročnik Upravljavec in ŠPICA Obdelovalec. ŠPICA lahko imenuje Pod-obdelovalce skladno s poglavjem 5. tega DPA. 

2.2 Naročnik kot Upravljavec. Naročnik bo pri uporabi Storitev in izdaji naročil Obdeloval Osebne Podatke skladno z zahtevami Zakonodaje s področja varstva osebnih podatkov. Naročnik je centralna točka in je izključno pristojen za pridobitev primerne pravne podlage za Obdelavo Osebnih Podatkov Posameznikov v Storitvi. Naročnik je izključno pristojen za točnost in kvaliteto Osebnih Podatkov.  

2.3 ŠPICA kot obdelovalec. ŠPICA bo obravnavala Osebne Podatke kot zaupne in bo zgolj obdelovala Osebne Podatke po pooblastilu Naročnika v skaldu z dokumnetiranimi navodili Naročnika za naslednje namene: (i) Obdelavo skladno s Krovno Pogodbo;(ii) obdelava inicirano s strani uporabnikov pri njihovi uporabi Storitev; in (iii) obdelavo skladno z navodili Naročnika kjer so takšna navodila skladna z določili Krovne Pogodbe. 

2.4 Namen Obdelave. Namen Obdelave s strani ŠPICA je polna izvedba Storitev kot določeno v Krovni Pogodbi. Trajanje Obdelave, vrste Osebnih Podatkov in kategorije zadevnih Posameznikov so specificirane v Prilogi 3 tega DPA.

3. PRAVICE POSAMEZNIKOV

3.1. Zahteve Posameznikov. ŠPICA bo, skladno z Zakonodajo s področja varstva osebnoj podatkov, nemudoma obvestila Naročnika če bo ŠPICA prejela zahtevo Posameznika v zvezi z izvajanjem njegovih pravic po GDPR (“Zahteva Posameznika«). Glede na naravo Obdelave po tem DPA in s tem povezanimi stroški ŠPICE, bo ŠPICA pomagala v razumni meri Naročniku s primernimi tehničnimi in organizacijskimi ukrepi, s katerim naj se odgovori na Zahtevo Posameznika. Naročnik bo odgovoren za nastale stroške ŠPICE.

4. OSEBJE ŠPICE

4.1 Zaupnost. ŠPICA zagotavlja, da bo njeno osebje involvirano v Obdelavo Osebnih Podatkov varovalo zaupnost Osebnih Podatkov v upravljanju Naročnika, se bo redno izobraževalo na področju varstva osebnih podatkov in bo podpisalo pisne pogodbe o varovanju zaupnosti podatkov Naročnika.  

4.2 Zanesljivost. ŠPICA bo ukrenila vse razumno in zakonsko dopustno, da bo zagotovila zanesljivost ŠPICA osebja, ki Obdeluje Osebne Podatke Naročnika. 

4.3 Omejitev dostopa. ŠPICA zagotavlja, da bo do Osebnih Podatkov dostopalo zgolj osebje, ki izvaja Storitve po Krovni Pogodbi. 

5. POD -OBDELOVALCI

5.1 Imenovanje podobdelovalcev. Naročilnik potrjuje in se strinja, da (a) ŠPICA uporablja za Storitve oblačno infrastrukturo AZURE platform v upravljanju družbe MICROSOFT in MICROSOFT partnerjev; in (b) da lahko ŠPICA angažira tudi druge Pod obdelovalce za izvedbo Storitev. ŠPICA je z vsakim tašnim Pod -obdelovalcem sklenila pisno pogodbo skladno GDPR. 

5.2 Lista Pod-obdelovalcev in obveščanje o novih Pod -obdelovalcih. ŠPICA bo na zahtevo Naročnika posredovala listo Pod -obdelovalcev in bo v takšno listo vključila v kateri državi se nahajajo. ŠPICA bo posredovala obvestilo o novih Pod -obdelovalcih preden bo slednje pooblastila za Obdelavo. V primeru, da so takšni Pod- obdelovalci iz tretjih držav Naročnik pooblašča ŠPICO, da v njihovem imenu in za njihov račun sklene standardne pogodbene klavzule, če tako zahtevano.  

5.3 Ugovor. Naročnik ima pravico ugovarjati imenovanju novega Pod- obdelovalca na način pisnega obvestila v roku deset (10) delovnih dni po prejemu obvestila iz 5.1. tega DPA. V primeru takšnega ugovora bo ŠPICA storila vse kar je razumno, da se Pod -obdelovalec spremeni oziroma bo predlagala drugačno konfiguracijo Storitve. V primeru, da ŠPICA ni sposobna zagotoviti implementacije ugovora Naročnika v obdobju, ki ne presega trideset (30) dni, lahko Naročnik odpove Krovno Pogodbo. ŠPICA bo refundirala Naročinika za morebitne preplačane Storitve. 

5.4 Nujnost zamenjave. ŠPICA lahko zamenja Pod- obdelovalca brez predhodnega obvestila Naročnika v primerih nujnosti, ko je razlog za zamenjavo izven nadzora ŠICE ali pa je zahtevano iz razloga varnosti ali drugega urgentnega razloga. V takšnem primeru bo ŠPICA obvestila Naročnika takoj ko bo to mogoče. Člen 5.3. velja tudi v tem primeru.

5.5 Odgovornost. ŠPICA je odgovorana za dejanja svojih Pod- obdelovalcev, razen v kolikor ni v tej DPA določeno drugače.

5.6 Mednarodni prenosi. ŠPICA lahko obdeluje Osebne Podatke kjerkoli po svetu, pod pogojem, da zagotavlja primerne pravne podlage za takšne prenose izven EU/EEA in o tem na izrecno zahtevo Naročmnika le tega o tem obvesti. 

6. VARNOST – TEHNIČNI IN ORGANIZACIJSKI UKREPI

6.1 Varnostne kontrole. ŠPICA bo vzpostavila in vzdrževala primerne tehnične in organizacijske ukrepe za varstvo Osebnih Podatkov, integriteto Osebnih Podatkov na način kot podrobno določen v Prilogi 2. ŠPICA ne bo pomembneje zniževala standardov varstva osebnih podatkov tekom trajanja Krovne Pogodbe. Opis tehničnih in organizacijskih ukrepov na strani MICROSOFT AZURE je opisan na https://Azure.microsoft.com.  

6.2 Certifikacije. ŠPICA ima ISO 27001 certifikat, ki ga bo na zahtevo Naročnika tudi predložila. Certofikacije za Azzure MICROSOFT so dostopne na https://azure.microsoft.com/en-us/overview/trusted-cloud/ 

7. KRŠITEV VARSTVA OSEBNIH PODATKOV

ŠPICA zagotavlja potrebne protokole glede varovanja Osebnih podatkov in bo obvestila Naročnika nemudoma v primeru kršitve varstva Osebnih Podatkov. To poglavje se ne uporablja v primerih če je do kršitve varstva osebnih podatkov prišlo iz razloga na strani Naročnikov ali uporabnikov Naročnika.

8. VRNITEV OSEBNIH PODATKOV

ŠPICA bo vrnila Naročnikove Osebne Podatke (če bo z njimi razpolagala) oziroma izbrisala skladno s protokoli določenimi v Azure Microsoft dokumentaciji.

9. OMEJITEV ODGOVORNOSTI

NOBENA OD POGODBENIH STRANK NI ODGOVORNA ZA POSREDNO ŠKODO NASTALO DRUGI STRANKI, ZA IZGUBO PODATKOV ALI DOBIČKA V ZVEZI Z IZVAJANJEM TEGA DPA. SLEDNJE PA NE VELJA V PRIMETU POVZROČITVE ŠKODE IZ VELIKE MALOMARNOSTI ALI NAKLEPA. ODGOVORNOST ŠPICA JE OMEJENA NA VREDNOST STORITEV PO KROVNI POGODBI V ZADNJIH 12 MESECIH PRED NASTANKOM ŠKODE.

10. PRAVNI UČINEK DPA

Ta DPA stopi v veljavo ob začetku veljavnosti Krovne pogodbe.

DPA se presoja po pravu Republike Slovenije. Pristojno sodišče je pristojno sodišče v Ljubljani. 

Lista prilog: Priloga 1 – Opis Storitev, Priloga 2 – Tehnični in organizacijski ukrepi, Priloga – vrste osebnih podatkov v obdelavi, nameni in kategorije Posameznikov. 

Priloga 1: Opis Storitev ALL HOURS

1. spremljanje prisotnosti v urah in dnevih 

2. dodajanje sodelavcev, da spremljajo svoj delovni čas 

3. generiranje poročil in druge analitike o prisotnosti na delu 

Priloga 2: Tehnični in organizacijski ukrepi

Spodaj so opisani trenutni tehnični in organizacijski ukrepi. ŠPICA lahko slednje spremeni brez obveze predhodne obvestitve Naročnika v kolikor zagotavlja po spremembi primerljivo raven tehničnih in organizacijskih ukrepov. 

1.1 Fizični dostop. Nepooblaščenim osebam je prepoved dostop do prostorov, opreme kjer se obdelujejo Osebni podatki. 

1.2 Nadzor sistemskega dostopa. Sistemi uporabljeni za zagotavljanje storitev v oblaku ne smejo biti izpostavljeni uporabi brez avtorizacije/dovoljenja.

1.3. Dostop do podatkov: Osebe pooblaščene za dostop imajo dostop samo do Osebnih Podatkov do katerih lahko dostopajo zaradi izvajanja Krovne Pogodbe. Osebni Podatki se ne smejo Obdelovati brez namena oziroma potrebe. 

1.4. Revizijska skled: ŠPICA zagotavlja revizijsko sled.  

1.5. Nadzor: Osebni podatki se Obdelujejo skaldno s pooblastilom Naročnika skladno s Krovno Pogodbo. 

1.6 Nadzor dostopa: Osebni podatki bodo varovani pred nepooblaščenim dostopom, uničenjem ali izgubo. 

1.7 Ločevanje. Osebni podatki, ki se obdeluje bodo ločeni od drugih Osebnih podatkov drugih naročnikov. 

1.8 Integriteta Osebnih Podatkov. Osebni Podatki bodo med Obdelavo ostali enaki in kompletni. 

Priloga 3: ČAS TRAJANJA OBDELAVE, NAMEN OBDELAVE, VRSTE OSEBNIH PDATKOV IN KATEGORIJE POSAMEZNIKOV

Čas trajanja Obdelave je enak času trajanj Krovne Pogodbe.

Namen obdelave:

1) zagotavljanje Storitve Naročniku;

2) identifikacija uporabnikov Storitve z namenom zagotavljanja Storitve;

3) preprečevanje nepooblaščenega dostopa do Storitve;

4) obveščanje uporabnikov o Storitvi in drugih ŠICA storitvah in produktih;

5) zagotavljanje boljše uporabniške izkušnje in podpora.

Vrste osebnih podatkov:

- ime in priimek

- Email

- Kontaktni podatki

- Organizacijska enota ali tim

- Zabeleženi prihodi, odhodi in drugi dogodki (datum, čas, tip dogodka)

- Zabeležena prisotnost (datum, čas)

- zabeležena odsotnost (bolniška, službena pot, dopust in drugo skladno z navodili Naročnika) 

Kategorije Posameznikov

- Zaposleni

- Študenti

- Pogodbeni sodelavci

- Drugo po navodilu Naročnika