Pogodba o skupnem upravljanju osebnih podatkov – aplikacija Simbioza Dogodki

Pogodbeni stranki:

Zavod za medgeneracijsko sodelovanje Simbioza Genesis Ljubljana,  socialno podjetje
Letališka cesta 3
1000 Ljubljana
matična številka: 6605621000
davčna številka: SI 49944606

elektronski naslov: info@simbioza.eu

telefon: 040 336 311

ki ga zastopa ga. Katja Pleško, direktorica

(v nadaljevanju: »Simbioza«)

 in

koordinator*,

*katerega naziv, naslov in zakoniti zastopnik, kakor tudi elektronski naslov zakonitega zastopnika in ime ter priimek koordinatorja zadevne Simbiozine akcije oziroma projekta, ter njegovi kontaktni podatki, so zajeti na predmetnem prijavnem obrazcu, s katerim bo Simbioza koordinatorju registrirala njegov uporabniški račun

(v nadaljevanju: : »upravljavec« oziroma »koordinator«),

sklepata naslednjo

POGODBO O SKUPNEM UPRAVLJANJU OSEBNIH PODATKOV – APLIKACIJA SIMBIOZA DOGODKI

(v nadaljevanju: »pogodba«)

 UVODNE DOLOČBE

1. člen

 Pogodbeni stranki uvodoma ugotavljata:

–              da sta Simbioza in koordinator v nadaljevanju skupaj poimenovana kot »pogodbeni stranki« oziroma »upravljavca«,

• da pogodbeni stranki sodelujeta na podlagi Splošnih pogojev uporabe aplikacije Simbioza dogodki, ki so dostopne na povezavi simbioza.eu/splosni-pogoji-uporabe-aplikacije (v nadaljevanju: »krovna pogodba«), pri čemer je koordinator z njihovo vsebino soglašal ob registraciji uporabniškega računa za uporabo aplikacije Simbioza dogodki (v nadaljevanju »Simbioza dogodki«), in v okviru katere sta primorana obdelovati določene osebne podatke (v nadaljevanju »osebni podatki«), kot sledi v nadaljevanju;
• da v skladu s krovno pogodbo, Simbioza upravljavcu nudi rabo aplikacije Simbioza dogodki in pomoč pri skupnem izvajanju dogovorjenih projektov ter dogodkov, ki se jih je mogoče udeležiti s pomočjo aplikacije, (t.j. z registracijo ali nakupom vstopnice), podatke o uporabnikih aplikacije ter o dogodkih in njihovih udeležencih, pa Simbioza občasno prilaga kot dokazilo o uspešno izvedenem sofinanciranem dogodku različnim javnim in zasebnim institucijam, ki jo v ta namen finančno podpirajo (npr. Ministrstvo za izobraževanje, znanost in šport), ter da v te namene ponuja ter z upravljavcem skupaj uporablja lastno aplikacijo Simbioza dogodki,
• da ta pogodba poleg krovne pogodbe predstavlja sestavni in neločljivi del pravnega odnosa med pogodbenima strankama, ki je skladno s krovno pogodbo sklenjen ob veljavni registraciji uporabniškega računa za uporabo aplikacije Simbioza dogodki, ter da v primeru neskladja med določili te pogodbe in določili krovne pogodbe (vključno z njihovimi prilogami in drugimi dokumenti, na katere se krovna pogodba sklicuje), veljajo ustrezna določila te pogodbe,
• da se ta pogodba sklepa zaradi uskladitve njunega poslovnega odnosa z namenom ureditve varovanja osebnih podatkov skladno z določili Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju »Uredba«);

–              da gre pri obdelavi osebnih podatkov v zvezi z aplikacijo Simbioza dogodki (in skupno organiziranje dogodkov preko nje) za odnos skupnih upravlajvcev, ki ga določa 26. člen Uredbe, ter da upravljavec in Simbioza s to pogodbo skupaj urejata namene in načine obdelave zadevnih podatkov, kakor tudi njihovo varovanje in odgovornosti v zvezi s tem.

2. člen

 Pogodbeni stranki nadalje ugotavljata, da:

• »nacionalna zakonodaja« pomeni vso veljavno nacionalno zakonodajo o varstvu osebnih podatkov, vključno vsakokrat veljavni zakon, ki ureja varstvo osebnih podatkov;
• da »osebni podatki« pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom, kot so opredeljeni v Uredbi (tj. določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot so ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika), v nadaljevanju tudi »posameznik, na katerega se nanašajo osebni podatki«;
• »obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

PREDMET POGODBE

3. člen

 Ta pogodba določa pravice in dolžnosti pogodbenih strank, povezane z varstvom osebnih podatkov in obdelavo osebnih podatkov kot skupnih upravljavcev zaradi uveljavljanja njunih pravic in dolžnosti, ki izhajajo iz krovne pogodbe.

Pogodbeni stranki s to pogodbo določita vsebino in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki ter njune pravice in obveznosti.

Pogodbeni stranki soglašata in zagotavljata, da bosta osebne podatke, ki so predmet te pogodbe,
obdelovali na temelju vsaj ene izmed zakonitih podlag določenih v 6. členu Uredbe in v skladu s 4.
členom te pogodbe.

PRIDOBIVANJE IN PODLAGA ZA OBDELAVO OSEBNIH PODATKOV

4. člen

Skupna upravljavca bosta osebne podatke pridobivala neposredno s strani udeležencev dogodkov, ki se bodo na dogodek prijavili preko spletne aplikacije Simbioza dogodki oziroma njihovih zakonitih skrbnikov, in bodo v ta namen kreirali uporabniški račun oziroma izpolnili spletni obrazec za udeležbo na dogodku (pogodbena podlaga za obdelavo osebnih podatkov).

Pogodbeni stranki soglašata, da bosta osebne podatke obdelovali le toliko časa, kolikor je potrebno, da se doseže namene obdelave osebnih podatkov, ki je določen v tej pogodbi, v skladu z internimi pravili posameznega upravljavca, do prejema preklica privolitve v obdelavo osebnih podatkov (če se podatki obdelujejo na podlagi privolitve posameznika), oziroma zakonitega interesa, do prepovedi obdelave osebnih podatkov ali do prenehanja veljavnosti te pogodbe.

V kolikor tekom poslovnega sodelovanja v okviru krovne pogodbe prihaja do vsebinskih sprememb glede podatkov, navedenih v tem členu, pogodbeni stranki skleneta aneks k tej pogodbi.

SKUPNI NAMENI IN OBLIKE OBDELAV OSEBNIH PODATKOV

5. člen

Skupna upravljavca soglašata, da bosta osebne podatke, ki so predmet te pogodbe, skupno obdelovala

za naslednje namene obdelave:

1.) izvedbo skupnega dogodka (npr. preverjal veljavnost vstopa s seznamom prijavljenih, ki ga izpiše aplikacije ipd.),

2.) delovanja temeljnih funkcionalnosti aplikacije Simbioza dogodki (obdelava podatkov spletnega obrazca za udeležbo na dogodku, shranjevanje podatkov na strežniku pogodbenega podobdelovalca iz Priloge št. 2 te pogodbe, ipd.)

3.) izvajanja podpore uporabnikom in reševanja morebitnih težav pri uporabi aplikacije Simbioza dogodki (npr. komuniciranje z uporabnikom glede delovanja aplikacije, vpogledovanje v podatke v zaledju aplikacije, ipd.)

4.) sprejemanje in odgovarjanje na vprašanja v zvezi z rabo aplikacije Simbioza dogodki in izvedbo dogodka (npr. vprašanja poslana kontaktnim osebam, zastavljena ob obrazca za udeležbo na dogodku, ipd.)

5.) obvesčanje posameznikov o novostih, novicah, dogodkih in nadgradnjah v zvezi z aplikacijo Simbioza dogodki (npr. prek »newsletter«-jev, obvestil znotraj aplikacije, ipd.) v kolikor so posamezniki k temu izrecno soglašali,

6.) izvrševanje in pomoč pri izvrševanju posameznikovih pravic po Uredbi, ter potencialno razreševanje odškodninskih zahtevkov ali zahtev za namene inšpekcij, ter dokazovanja upravičenosti stroškov sofinanciranega projekta (npr. posredovanje podatkov o udeležencih dogodka za namene dokazovanja upravičenosti projekta pri ponudniku javnih sredstev za sofinanciranje operacij, ipd.) pri čemer lahko v ta namen Simbioza oziroma koordinator, ob pridobitvi dodatnih soglasij, opravi fotografiranje udeležencev dogodka,

7.) za promocijske namene (npr. nagradni natečaj za udeležence dogodka, pri čemer lahko v ta namen Simbioza oziroma koordinator, ob pridobitvi dodatnih soglasij, opravi fotografiranje udeležencev skupnega dogodka),

8.) izvedba prodaje vstopnic in procesiranje plačil preko aplikacije Simbioza dogodki, v kolikor je bil v ta namen sklenjen ustrezen aneks k krovni pogodbi,

pri čemer bosta osebne podatke za nadpisane namene ustrezno vpogledovala, shranjevala, popravljala, pošiljala, prenašala oziroma izbrisala.  

LOČENI NAMENI OBDELAVE OSEBNIH PODATKOV IN OBLIKE OBDELAV – SIMBIOZA

6. člen

Skupna upravljavca soglašata, da bo Simbioza vršila obdelavo osebnih podatkov uporabnikov aplikacije Simbioza dogodki za naslednje namene:

1) za namene izvedbe lastnega dogodka (npr. preverjal veljavnost vstopa s seznamom prijavljenih, ki ga izpiše aplikacije ipd.),

2.) za analitične namene  (npr. beleženje metapodatkov o rabi aplikacije)

3.) dokazovanja upravičenosti in pravilne izvedbe sofinanciranega dogodka, na katerega se je posameznik prijavil preko aplikacije Simbioza dogodki (npr. posredovanje liste prisotnosti in ob pridobitvi ustreznih soglasij tudi fotografij uporabnikov Uradu Republike Slovenije za mladino, Evropski Komisiji, zadevnim Ministrstvom RS, ipd.),

pri čemer bo Simbioza osebne podatke za nadpisane namene ustrezno vpogledovala, shranjevala, popravljala, pošiljala, prenašala oziroma izbrisala.  

LOČENI NAMENI OBDELAVE OSEBNIH PODATKOV IN OBLIKE OBDELAV – UPRAVLJAVEC

7. člen

Skupna upravljavca soglašata, da bo upravljavec vršil obdelavo osebnih podatkov uporabnikov aplikacije Simbioza dogodki za naslednje namene:

1.) zbiranja list prisotnosti in liste prijav na dogodke,

2.) dokazovanja upravičenosti in pravilne izvedbe projekta Simbiozi (npr. posredovanje liste prisotnosti in ob pridobitvi ustreznih soglasij tudi fotografij udeležencev Simbiozi),

3.) komunikacija z prijavljenimi osebami v zvezi z potekom oziroma organizacijo dogodka.

pri čemer bo upravljavec osebne podatke za nadpisane namene ustrezno vpogledoval, shranjeval, popravljal, pošiljal, prenašal oziroma izbrisal.  

VRSTE OSEBNIH PODATKOV

8. člen

Pogodbeni stranki ugotavljata, da bosta za namene obdelave določene v tej pogodbi obdelovali naslednje vrste osebnih podatkov:

1) ime in priimek,

2) datum rojstva,

3) elektronski naslov (oz. elektronski naslov zakonitega zastopnika),

4) telefonska številka,

5) podatke o udeležbi na dogodku,

 pri čemer gre lahko pri nadpisanih podatkih tudi za osebne podatke oseb, ki nastopajo kot zakoniti skrbniki otrok, mlajših od 15 let, oziroma oseb, ki nimajo polne poslovne sposobnosti.

Simbioza bo za svoje namene obdelav osebnih podatkov, ki so opisani v 6. členu te pogodbe, obdelovala še:

1) geslo uporabniškega računa,

2) metapodatke o rabi aplikacije.

Ob pridobitvi posebnih soglasji, kar še posebej velja v primeru oseb, ki so mlajše od 15 let oziroma oseb, ki nimajo polne poslovne sposobnosti, bosta skupna upravljavca lahko obdelovala še:

– fotografije udelženca skupnega dogodka.

Skupna upravljavca v vsakem primeru obdelujeta le toliko in le tiste vrste osebnih podatkov, kot so sorazmerni glede na posamezni namen obdelave.

KATEGORIJE UPORABNIKOV OSEBNIH PODATKOV

9. člen

Uporabniki osebnih podatkov:

5. pogodbeni stranki soglašata, da bosta uporabnika osebnih podatkov, ki jih uporabniki aplikacije Simbioza dogodki oziroma njihovi zakoniti skrbniki vnesejo v aplikacijo Simbioza dogodki, oba upravljavca, torej Simbioza in upravljavec, vendar le za namene obdelav, kot jih predpisujejo 5. 6. in 7. člen te pogodbe,
6. pogodbeni stranki soglašata, da bo uporabnik osebnih podatkov, ki jih uporabniki oziroma njihovi zakoniti skrbniki vnesejo v fizične izjave za kreiranje uporabniškega računa upravljavec, Simbioza pa bo lahko te podatke obdelovala zgolj za namene iz 5. oziroma 6. člena te pogodbe (npr. dokazovanje upravičenosti in pravilne izvedbe projekta),
7. pogodbeni stranki soglašata, da bo uporabnik osebnih podatkov v aplikaciji Simbioza dogodki za namene izvedbe dogodkov, primarno upravljavec, Simbioza pa bo lahko te podatke obdelovala zgolj za namene iz 5. oziroma 6. člena te pogodbe (npr. dokazovanje upravičenosti in pravilne izvedbe sofinanciranega dogodka/operacije),
8. pogodbeni stranki soglašata, da bo Simbioza uporabnik osebnih podatkov o uporabi aplikacije (metapodatki o rabi aplikacije), ter podatkov, ki so potrebni za delovanje temeljnih funkcionalnosti aplikacije Simbioza dogodki,
9. pogodbeni stranki soglašata, da bo vsak upravljavec zadolžen za pridobivanje svojih fotografij udeležencev dogodkov, ki so se na dogodek prijavili preko spletnega obrazca aplikacije Simbioza dogodki, ter izključno za namene iz te pogodbe, pri čemer bosta upravljavca drug drugemu pomagala pri izvedbi fotografiranja in zadostitvi zakonskih zahtev glede fotografij, kar še posebej velja v primeru oseb, ki so mlajše od 15 let oziroma oseb, ki nimajo polne poslovne sposobnosti.

Neglede na navedeno, lahko vsak upravljavec po tej pogodbi drugemu upravljavcu omogoča dostop, vpogled, popravek in prenos osebnih odatkov uporabnikov aplikacije Simbioza dogodki za izvajanje obdelav osebnih podatkov, ki so skladni z nameni obdelav po tej pogodbi, oziroma za katere ima drug upravljavec na zakonu osnovano pravico.

Kategorija uporabnikov:

Osebne podatke bosta v skladu s prejšnjim odstavkom obdelovala upravljavca, torej njihove pooblaščene zaposlene osebe in njihovi pogodbeni obdelovalci, s katerimi so sklenjene ustrezne pogodbe o obdelavi osebnih podatkov.

Natančen seznam nadpisanih obdelovalcev (oziroma podobdelovalcev) se nahaja v Prilogi št. 2 oziroma Prilogi št. 3 te pogodbe.

PRAVICE IN OBVEZNOSTI GLEDE SKUPNEGA UPRAVLJANJA

10. člen

 Pogodbeni stranki se zavezujeta, da bo vsaka pogodbena stranka kot upravljavec:

• pripravila in objavila svojo izjavo o zasebnosti, ki bo vsebovala vse potrebne informacije v zvezi z obdelavo osebnih podatkov posameznikov po krovni pogodbi v skladu s 13. oziroma 14. členom Uredbe, ter na enostaven in dostopen način zagotovila posameznikom vse potrebne informacije v zvezi obdelavo osebnih podatkov med pogodbenima strankama vključnoz navedbo namenov obdelave, načina delitve osebnih podatkov med pogodbenima strankama, identiteto skupnih upravljavcev ter načinom uveljavljanja pravic s strani posameznikov,
• zagotovila, da bodo vsi obdelovalci, ki bodo za pogodbeno stranko obdelovali osebne podatke, pogodbeno zavezani k zakoniti obdelavi osebnih podatkov v skladu z 28. in 30. členom Uredbe.
• imenovala pooblaščeno osebo za varstvo podatkov v skladu z določili Uredbe, v kolikor bodo za to izpolnjeni pogoji oziroma zahteve.

Pogodbeni stranki sta dolžni zagotoviti, da se osebni podatki obdelujejo zakonito, pošteno in pregledno v skladu z Uredbo in nacionalno zakonodajo.

Pogodbeni stranki se dogovorita, da so vsa navodila glede narave, obsega ter namena obdelave osebnih podatkov, ki si jih upravljavec in Simbioza posredujeta med seboj za izpolnjevanje pravic in obveznosti iz krovne pogodbe, zajeta že v določilih te pogodbe.

Vsaka pogodbena stranka bo obdelovala osebne podatke, ki jih je pridobila od druge stranke izključno v skladu z določili te pogodbe oziroma Uredbe ali nacionalne zakonodaje.

Nobena pogodbena stranka ne sme osebnih podatkov obdelovati na način, ki je nezdružljiv z osnovnim namenom zbiranja osebnih podatkov, tj. izven obsega in namena obdelave, ki je predviden s to pogodbo in krovno pogodbo. V primeru dvomov je vsaka pogodbena stranka dolžna pridobiti pisno soglasje druge stranke pred tovrstno obdelavo osebnih podatkov.

Pred obdelavo osebnih podatkov v namene, ki so drugačni od tistih, opisanih v tej pogodbi in krovni pogodbi, je potrebno pridobiti predhodno pisno soglasje druge stranke.

Druge konkretne pravice in obveznosti v zvezi z obdelavo osebnih podatkov so opredeljene v naslednjih členih te pogodbe.

NAVODILA, PRAVILNOST IN TOČNOST PODATKOV TER VODENJE EVIDENCE IZ 30. ČLENA UREDBE

11. člen 

Pogodbena stranka in katera koli oseba, ki ukrepa pod vodstvom pogodbene stranke in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati v nasprotju s to pogodbe, razen če to od njega zahteva pravo EU ali nacionalna zakonodaja.

Navodila vsake pogodbene stranke kot upravljavca so določena v tej pogodbi in jih lahko vsaka pogodbena stranka nato občasno dopolni glede narave, obsega ter namena obdelave osebnih podatkov, pri  čemer je dolžna pri tem upoštevati razumni rok za tovrstne spremembe, ter temelj sodelovanja med pogodbenima strankama, torej določila krovne pogodbe, preden od druge stranke zahteva sprejetje takšnih dopolnitev v obliki aneksa k tej pogodbi.

Vsaka pogodbena stranka mora zagotoviti, da vsi njeni zaposleni in druge osebe, ki delujejo po njenem pooblastilu in imajo dostop do osebnih podatkov iz te pogodbe, le-te obdelujejo izključno po njenih navodilih in v skladu z določili te pogodbe, razen če Uredba in/ali nacionalna zakonodaja ne zahteva drugače.

Če katera koli pogodbena stranka meni, da določila te pogodbe kršijo obvezne določbe Uredbe ali nacionalne zakonodaje, mora drugi pogodbeni stranki to nemudoma sporočiti še pred obdelavo osebnih podatkov.

Vsaka pogodbena stranka mora zagotoviti, da so osebni podatki, ki so predmet obdelave med strankama pogodbe točni in posodobljeni.

Vsaka pogodbena stranka mora zagotoviti, da se netočni oziroma nepopolni podatki nemudoma izbrišejo oziroma popravijo ob upoštevanju namena za katerega se obdelujejo.

Pogodbeni stranki soglaśata, da bosta v primeru ugotovitve netočnosti osebnih podatkov, ki so predmet te pogodbe, o tem nemudoma obvestili drugo stranko

Vsaka pogodbena stranka mora voditi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja, v skladu s 30. členom Uredbe.

ZAUPNOST

12. člen

 Vsaka pogodbena stranka obdelavo osebnih podatkov zaupa samo zaposlenim (in morebitnim drugim osebam, povezanih z obdelavo osebnih podatkov), ki so zavezani k zaupnosti na podlagi same pogodbe o zaposlitvi, dogovora ali ustrezne izjave o varovanju zaupnosti in so bili predhodno seznanjeni z določbami o varstvu osebnih podatkov, pomembnimi za njihovo delo ter z vzpostavljenimi varnostnimi ukrepi.

V izogib dvomu, mora ta zavezanost k zaupnosti veljati tudi po prenehanju pogodbenega razmerja med obdelovalcem in zaposlenimi /drugimi osebami.

Vsaka pogodbena stranka izjavlja, da so vsi zaposleni in druge osebe, ki imajo dostop do osebnih podatkov, pogodbeno zavezani k varovanju zaupnosti osebnih podatkov oziroma so podali ustrezno pisno izjavo o tem.

Vsaka pogodbena stranka in vsaka oseba, ki deluje pod njenim pooblastilom in ima dostop do osebnih podatkov, te podatke obdeluje le po navodilih iz te pogodbe, razen če obdelavo podatkov zahteva nacionalna zakonodaja.

Ne glede na trajanje veljavnosti te pogodbe ali krovne pogodbe je dolžnost varovanja zaupnosti osebnih podatkov trajna.

TEHNIČNI IN ORGANIZACIJSKI UKREPI

13. člen

 Vsaka pogodbena stranka izjavlja in  jamči, da je izvedla in tekoče izvaja vse ustrezne tehnične in organizacijske ukrepe tako, da obdelava osebnih podatkov ustreza varnostnim in vsem drugim zahtevam obdelave osebnih podatkov, ki so navedene v Uredbi (zlasti v 32. členu Uredbe – varnost obdelave), oziroma zahtevam iz Priloge 1 te pogodbe, vse na način, ki zagotavlja zaščito pravic posameznikov, na katere se osebni podatki nanašajo.

Vsaka pogodbena stranka mora v času veljavnosti te pogodbe ohranjati vse nadpisane tehnične in organizacijske ukrepe,  s katerimi zagotavlja varnost obdelave.

Tehnični in organizacijski ukrepi so predmet tehničnega napredka in nadaljnjega razvoja. V zvezi s tem je vsaki pogodbeni stranki dovoljeno izvajati primerne alternativne ukrepe. Pri tem se stopnja varnosti obstoječih ukrepov ne sme zmanjšati.

Vsaka pogodbena stranka mora biti zmožna dokazati skladnost dejavnosti obdelave z Uredbo in nacionalno zakonodajo, vključno z učinkovitostjo ukrepov.

PODOBDELAVA

14. člen

 Vsaka pogodbena stranka lahko za obdelavo osebnih podatkov, ki jih obdeluje na podlagi te pogodbe, najame podobdelovalce (podizvajalci) zaradi namena izpolnitve obveznosti iz krovne pogodbe, kar vsaka pogodbena stranka potrdi s podpisom te pogodbe.

Upravljavec se strinja z imenovanjem podobdelovalcev, ki sodelujejo s Simbiozo in so navedeni v Prilogi št. 2 te pogodbe.

Vsaka pogodbena stranka se strinja z imenovanjem morebitnih drugih podobdelovalcev, ki jih najame druga pogodbena stranka za namene zagotavljanja sodelovanja na podlagi krovne pogodbe, pri čemer o tem upravljavec ne bo posebej obveščen s strani obdelovalca.

Vsaka pogodbena stranka pa je dolžna skladno s prejšnjim odstavkom podobdelovalce pisno zavezati k pogodbenim zahtevam, ki izhajajo iz te pogodbe, Uredbe in nacionalne zakonodaje, vse v skladu z dolžnostmi, opredeljenimi v 28. členu Uredbe. V pogodbah za podobdelavo podatkov mora biti odgovornost obdelovalca in podobdelovalca jasno opredeljena in določena.

SODELOVALNA DOLŽNOST

15. člen

 Vsaka pogodbena stranka je dolžna ob upoštevanju narave in vrste obdelave, kolikor je to mogoče, pri izpolnjevanju obveznosti upravljavca glede zahtev posameznika, na katerega se nanašajo osebni podatki, zagotoviti pomoč z ustreznimi tehničnimi in organizacijskimi ukrepi.

Vsaka pogodbena stranka je nadalje dolžna ob upoštevanju narave in vrste obdelave ter informacij, ki so dostopne obdelovalcu, drugi pogodbeni stranki pomagati pri izpolnjevanju obveznosti, določenih v Uredbi in nacionalni zakonodaji, še zlasti obveznosti, ki se nanašajo na (a) varnost obdelave, (b) uradno obvestilo Informacijskemu pooblaščencu o kršitvah varstva osebnih podatkov, (c) sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvah varstva osebnih podatkov, (d) morebitno oceno učinka v zvezi z varstvom podatkov in (e) predhodno posvetovanje.

16. člen

 V primerih, kjer je pogodbena stranka dolžna zagotoviti informacije o osebnih podatkih, ki jih obdeluje na podlagi te oziroma krovne pogodbe, ali dejavnostih njihove obdelave posameznikom, na katere se osebni podatki nanašajo, nadzornemu organu ali tretjim strankam, mora druga pogodbena stranka takoj po prejemu zahteve zagotoviti vse potrebne informacije prvi pogodbeni stranki, vključno z morebitnimi dokumenti in vso drugo potrebno podporo, v kolikor je zahteva prve pogodbene stranke utemeljena.

DOLŽNOST OBVEŠČANJA

17. člen

 V kolikor katera koli pogodbena stranka odkrije kršitev varstva osebnih podatkov ali morebitno kršitev varstva osebnih podatkov, mora o tem nemudoma obvestiti drugo pogodbeno stranko.

Kršitev se lahko nanaša na kršitev te pogodbe oziroma Uredbe, nacionalne zakonodaje s strani katere koli pogodbene stranke, njenih zaposlenih ali tretjih strank. Nadalje se kršitev nanaša lahko tudi na neželeno ali nepričakovano stanje sistema, storitve ali omrežja, ki nakazuje možno kršitev informacijske varnostne politike ali nedelujoče ščitenje oziroma neznana situacija, ki bi bila lahko relevantna za varstvo osebnih podatkov po Uredbi in/ali nacionalni zakonodaji (t.i. varnostni incident).

Informacije o kršitvi varstva osebnih podatkov ali morebitni kršitvi varstva osebnih podatkov morajo obsegati informacije o času in naravi kršitve (vključno z informacijo o kategorijah posameznikov, na katere se osebni podatki nanašajo, o približni oceni števila prizadetih posameznikov, na katere se osebni podatki nanašajo, o osebnih podatkih, zajetih v okviru kršitve, ter o kontaktni osebi, ki bo nudila več informacij upravljavcu), prizadetem sistemu, času odkritja, vseh morebitnih posledicah kršitve varnosti podatkov ter o ukrepih, ki jih je katera koli pogodbena stranka sprejela ali jih predlaga za odpravo ali ublažitev kršitve varstva osebnih podatkov.

Prvo obvestilo je pogodbena stranka dolžna poslati drugi pogodbeni stranki najkasneje v 48 urah po odkritju kršitve varstva osebnih podatkov ali morebitne kršitve varstva osebnih podatkov. Dodatna in podrobnejša obvestila z vsemi ustreznimi informacijami glede kršitve varstva osebnih podatkov, je treba drugi pogodbeni stranki redno pošiljati, takoj ko se pojavijo nove informacije.

Za pošiljanje se uporabijo kontaktni podatki iz te pogodbe, ki pripadajo zadevni pogodbeni stranki.

Pogodbena stranka mora na zahtevo druge pogodbene stranke nuditi vso potrebno ali zahtevano podporo glede izpolnjevanja zakonskih ali drugih pogodbenih obveznosti v povezavi s kršitvami varstva osebnih podatkov. Zlasti mora vsaka pogodbena stranka brez nepotrebnega odlašanja vzpostaviti vse razumne ukrepe za zmanjšanje in odpravljanje groženj nedotakljivosti in zaupnosti osebnih podatkov, zavarovanje osebnih podatkov in preprečitev vseh morebitnih negativnih posledic za posameznike, na katere se nanašajo osebni podatki oz. za zmanjšanje njihovih učinkov na najmanjšo možno mero.

18. člen

 Če pogodbena stranka prejme zahtevo za informacije glede osebnih podatkov, ki jih obdeluje v okviru te oziroma krovne pogodbe s strani pristojnih/nadzornih organov, mora o tem nemudoma obvestiti drugo pogodbeno stranko, pri čemer obvestilo vsebuje podatke o času in vsebini zahtevanih informacij, razen če pravo takšno obvestilo prepoveduje na podlagi pomembnih razlogov v javnem interesu, oziroma če lahko takšno zahtevo razreši na način, da posreduje zgolj tiste osebne podakte, glede katerih sama nastopa kot izključni upravljavec.

ROK HRAMBE, VRAČILO IN IZBRIS OSEBNIH PODATKOV

19. člen

 Rok hrambe podatkov je do izpolnjenosti namena njihove obdelave.

Vsaka pogodbena stranka ima pravico osebne podatke hraniti še 30 dni od izbrisa/ukinitvi uporabniškega računa, v kolikor to ni v nasprotju z zahtevo oziroma interesom posameznika, na katerega se podatki nanašajo oziroma druge pogodbene stranke, ki glede zadevnih podatkov nastopa kot izključni upravljavec.

Po poteku veljavnosti te pogodbe oziroma krovne pogodbe, ima vsaka pogodbena stranka pravico od druge pogodbene stranke zahtevati, da ta osebne podatke popravi, izbriše, blokira ali mu jih vrne iz vseh podatkovnih nosilcev (tako fizičnih kot elektronskih), razen če pravo EU ali nacionalna zakonodaja predpisuje shranjevanje osebnih podatkov. Vsaka pogodbena stranka mora na zahtevo druge pogodbene stranke pisno dokumentirati vsak izbris in uničenje osebnih podatkov in upravljavcu, ter upravljavcu posredovati tovrstno dokumentacijo.

KONTAKTNE OSEBE

20. člen

 Kontaktni osebi za komunikacijo in obveščanje v zvezi z obdelavo osebnih podatkov po tej pogodbi sta:

• za upravljavca:

(uporabniško ime in elektronski naslov koordinatorja, vnešen ob   registraciji uporabniškega računa za uporabo aplikacije)

 za Simbiozo:      

1. Brigita Dane; dpo@simbioza.eu

 Spremembe kontaktne osebe je treba drugi pogodbeni stranki sporočiti brez nepotrebnega odlašanja. V nujnih primerih se lahko navodila in zahteve sporočijo po in k drugim osebam, če imenovane osebe niso dosegljive.

PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

21. člen

 Pogodbeni stranki soglašata, da bosta zagotavljali in uresničevali pravice posameznikov v skladu z določbami Uredbe in tem čenom pogodbe. Pogodbeni stranki določita naslednje postopke za uveljavljanje pravic posameznikov. Pogodbeni stranki soglašata, da lahko vsak posameznik na katerega se nanašajo osebni v skladu s tretjim odstavkom 26. člena Uredbe svoje pravice uresničuje glede vsakega od upravijavcev in proti vsakemu od upravljavcev.

Pravica do dostopa do osebnih podatkov:

Obe pogodbeni stranki bosta posamezniku na njegovo zahtevo zagotavljali pravico do dostopa do osebnih podatkov, ki se obdelujejo v zvezi z njim v skladu s 15. členom Uredbe. Odgovor na zahtevo posameznika posreduje tisti od skupnih upravljavcev, ki je prejel zahtevo s strani posameznika.

Pravica do popravka netočnih osebnih podatkov:

Obe pogodbeni stranki bosta zagotavljali pravico posameznika do popravka netočnih osebnih podatkov, ki jih obdelujeta v zvezi z njim v skladu s 16. členom Uredbe. Pogodbena stranka, ki pridobi zahtevo posameznika do popravka netočnih osebnih podatkov osebne podatke popravi in nemudoma o popravku obvesti drugo pogodbeno stranko..

Pravica do izbrisa:

Obe pogodbeni stranki zagotavljata pravico posameznika do izbrisa osebnih podatkov v skladu s 17. členom Uredbe. Pogodbena stranka, ki pridobi zahtevo posameznika do izbrisa osebnih podatkov zahtevo preuči in izbris izvede ter nemudoma o izbrisu obvesti drugo pogodbeno stranko.

Pravica do omejitve obdelave:

Obe pogodbeni stranki zagotavljata pravico posameznika do omejitve obdelave osebnih podatkov v skladu z 18. členom Uredbe. Omejitev obdelave osebnih podatkov posameznika izvede tista od pogodbenih strank, ki s strani posameznika pridobi zahtevo za omejitev obdelave in obvesti druge pogodbene stranke.

Pravica do prenosljivosti podatkov:

Obe pogodbeni stranki zagotavijata pravico posameznika do prenosljivosti podatkov v skladu z 19. členom Uredbe. Prenos podatkov od enega upravljavca k drugemu na zahtevo posameznika izvede tista pogodbena stranka, ki je zahtevo posameznika prejela.

Pravica do ugovora:

Pogodbeni stranki zagotavljata pravico posameznika do ugovora obdelavi osebnih podatkov. Ugovor in morebitni izbris podatkov, ki iz njega sledi, bo izvedla tista pogodbena stranka, ki ga je prejela. Ugovore lahko posamezniki v skladu s prejšnjim odstavkom tega člena uveljavijajo pri posameznem upravjavcu v fizični obliki ali v elektronski obliki na naslove, ki so določeni v tej pogodbi oziromoa v posameznih informacijah po 13. oz. 14. členu Uredbe.

KONČNE DOLOČBE

22. člen

 Spremembe te pogodbe so veljavne le v pisni obliki.

23. člen

 Pogodbeni stranki se dogovorita, da se za vsa vprašanja, ki niso urejena s to pogodbo uporabljajo vsakokrat veljavni pravni predpisi, ki urejajo vprašanje varstva osebnih podatkov in obligacijskih razmerij.

ODŠKODNINSKA ODGOVORNOST

24. člen

 Vsaka pogodbena stranka lahko drugi pogodbeni stranki odgovarja za škodo, ki bi jo povzročila njena kršitev te pogodbe oziroma njeno ravnanje, ki je v nasprotju z Uredbo oziroma nacionalno zakonodajo, ki ureja varstvo osebnih podatkov.

Nobena pogodbena stranka ne odgovarja drugi pogodbeni stranki za obdelavo osebnih podatkov, glede katerih druga pogodbena stranka nastopa kot izključni upravljavec osebnih podatkov.

Nobena pogodbena stranka ne odgovarja drugi pogodbeni stranki za škodo, ki bi nastala, ker je druga pogodbena stranka obdelovala podatke na nezakoniti podlagi, v kolikor je bila sama zadolžena za pripravo in pridobivanje zakonite podlage za obdelavo.

25. člen

 Pogodbeni stranki bosta morebitne spore, nastale pri izvrševanju te pogodbe reševali po mirni poti, v kolikor pa to ne bo mogoče, bosta spor predložili v reševanje pristojnemu sodišču v Ljubljani.

 VELJAVNA SKLENITEV TE POGODBE

26. člen

 Ta pogodba je sklenjena v trenutku, ko upravljavec veljavno izpolni polja prijavnega obrazca na spletni strani www.simbioza.eu in odda soglasje k tej pogodbi in k krovni pogodbi, ter klikne na gumb »Prijava«, s čimer Simbioza upravljavcu registrira njegov uporabniški račun za uporabo aplikacije Simbioza dogodki.

Upravljavec Simbiozi vselej jamči,  da v trenutku izvedbe nadpisanega postopka razpolaga z vsemi ustreznimi pooblastili in pravicami, ki jih potrebuje za veljavno registracijo uporabniškega računa in sklenitev te pogodbe v imenu zadevne pravne osebe, ki sodeluje s Simbiozo v okviru projekta ozrioma dogodka, ki se vrši preko aplikacije Simbioza dogodki.

V kolikor bi pri sklenitvi te pogodbe prišlo do tega, da bi bil uporabniški račun kreiran oziroma ta pogodba sklenjena v imenu tretje osebe brez njega pooblastila, bo ta pogodba zavezovala neupravičeno zastopano tretjo osebo samo, če jo bo ta pozneje odobrila.

Simbioza bo v primeru, ko neupravičeno zastopana tretja oseba ne bo odobrila sklenitve te pogodbe v roku, ki mu ga bo v ta namen sporočila Simbioza, upravičena zahtevati povrnitev škode od tistega, ki jo je kot pooblaščenec brez pooblastila sklenil (koordinator), če ob sklenitvi te pogodbe ni vedela in ni bila dolžna vedeti, da ta ni imel ustreznega pooblastila.

Priloga 1 – Fizični, tehnični in logično-tehničnih ter organizacijski ukrepi, ki jih mora zagotavljati vsaka pogodbena stranka, ko varuje osebne podatke na podlagi te pogodbe.

Priloga 2 – Seznam podobdelovalcev Simbioze.

Priloga 3 – Seznam podobdelovalcev upravljavca.

 

Priloga 1

FIZIČNI, TEHNIČNI IN LOGIČNO-TEHNIČNIH TER ORGANIZACIJSKI UKREPI, KI JIH MORA ZAGOTAVLJATI VSAKA POGODBENA STRANKA, KO VARUJE OSEBNE PODATKE NA PODLAGI TE POGODBE

Vstop v skupne prostore in pisarno je pod nadzorom, pri čemer ključ za vstop v pisarno posedujejo zgolj vodja pisarne, direktor in morebitne druge nadrejene osebe.    Omare, mize in drugo pohištvo, v katerem so nosilci z osebnimi podatki in se nahajajo izven varovanih prostorov (hodniki, skupni prostori), so zaklenjeni. Ključe hrani zaposleni, ki nadzoruje posamezno omaro oziroma pisalno mizo, na za to določenem mestu. Ključev ni dopustno puščati v ključavnicah.   Dostop do varovanih prostorov je dopusten le v rednem delovnem času, izven njega pa samo na podlagi dovoljenja odgovorne osebe.   V varovanih prostorih so ob zaključku delovnega časa oziroma po končanem delu izven delovnega časa omare in pisalne mize z nosilci podatkov, ki vsebujejo osebne podatke, zaklenjene, računalniki in druga strojna oprema pa izklopljeni ter fizično ali programsko zaklenjeni. Ključi se ne smejo puščati v ključavnicah.   Zaposleni skrbijo, da se osebe, ki niso zaposlene pri  pogodbeni stranki (npr. stranke, vzdrževalci prostorov, poslovni partnerji ipd.), ne gibljejo v varovanih prostorih nenadzorovani, pač pa zgolj z vednostjo/prisotnostjo odgovorne osebe.   2. VAROVANJE NOSILCEV PODATKOV, KI VSEBUJEJO OSEBNE PODATKE ZNOTRAJ DELOVNEGA ČASA   Nosilci z osebnimi podatki niso puščeni na vidnih mestih (npr. na mizah) v prisotnosti oseb, ki nimajo pravice vpogleda vanje.   Nosilci podatkov, ki vsebujejo občutljive oziroma posebne vrste osebnih podatkov, se ne hranijo izven varovanih prostorov.   Nosilce podatkov, ki vsebujejo osebne podatke, je mogoče iz prostorov pogodbene stranke odnesti samo z dovoljenjem nadrejene osebe, pri čemer se šteje se, da je nadrejena oseba dala dovoljenje z angažiranjem določenega sodelavca pri nalogi, katere sestavni del je tudi obdelava osebnih podatkov zunaj varovanih prostorov.   V prostorih, ki so namenjeni poslovanju s zunanjimi sodelavci in drugimi, so nosilci podatkov z vsebovanimi osebnimi podatki in računalniški prikazovalniki nameščeni tako, da le-ti nimajo vpogleda vanje.   3. VAROVANJE STROJNE IN PROGRAMSKE OPREME APLIKACIJE   SSL inkripcija in »SALT« hash inkripcija.   Vzdrževanje in popravilo strojne, računalniške in druge opreme je dovoljeno samo z vednostjo odgovorne osebe, izvedejo pa ga samo pooblaščeni servisi ter vzdrževalci, ki imajo s pogodbeno stranko sklenjene ustrezne pogodbe.   Dostop do programske opreme je varovan tako, da je dovoljen samo delavcem, ki jih določi nadrejena oseba, vključno s pravnimi ali fizičnimi osebami, ki, v skladu s pogodbo, opravljajo dogovorjene storitve.   Delavci ne smejo namestiti programske opreme brez vednosti nadrejene osebe. Prav tako ne smejo nameščene programske opreme, ki je v lasti pogodbene stranke oz. ima pogodbena stranka pravico do njene uporabe, brisati, ali jo brez odobritve nadrejene osebe kopirati ali prenesti na drug medij.   3.1 Dostop do podatkov preko aplikativne programske opreme in menjava gesel   Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov.

 

 

 

 

Priloga 2

Seznam podobdelovalcev Simbioze

NAZIV PODOBDELOVALCA / PRAVNA PODLAGA ZA OBDELAVO OSEBNIH PODATKOV PODATKI, KI JIH OBDELUJE IN NAMEN OBDELAVE DWEB, Tadej Bogataj, s.p. Mekinje, Cesta treh talcev 26A, Slovenija   Pravna podlaga za obdelavo: na podlagi sklenjene pogodbe o obdelavi osebnih podatkov.   Več o varovanju podatkov pri podobdelovalcu: https://dweb.si/zakon-o-varovanju-osebnih-podatkov/ lahko obdeluje:   –           osebne podatke iz 8. člena te pogodbe,   za namene:   –           nudenja storitve razvoja aplikacije Simbioza dogodki. DigitalOcean, LLC., 101 Avenue of the Americas 10th Floor New York, NY 10013, Združene države Amerike   Pravna podlaga za obdelavo: pogodba (politika o varstvu osebnih podatkov): https://www.digitalocean.com/legal/privacy-policy/ lahko obdeluje:   –           osebne podatke iz 8. člena te pogodbe,   za namene:   –           nudenja gostovanja podatkov aplikacije Simbioza dogodki v oblaku. Amazon.com Services LLC., 410 Terry Ave N Seattle, WA, 98109-5210, Združene države Amerike   Pogoji obdelave: pogodba (politika o varstvu osebnih podatkov): https://aws.amazon.com/privacy/ lahko obdeluje:   –           osebne podatke iz 8. člena te pogodbe,   za namene:   –           nudenja storitve »Amazon SES« za pošiljanje elektronskih sporočil (»newsletter«-jev)

 

Priloga 3

Seznam podobdelovalcev Upravljavca

NAZIV PODOBDELOVALCA / PRAVNA PODLAGA ZA OBDELAVO OSEBNIH PODATKOV   (npr. zunanji sodelavec, ki bo izvajal naloge koordinatorja, na podlagi sklenjene podjemne pogodbe, ipd.) PODATKI, KI JIH OBDELUJE IN NAMEN OBDELAVE     (npr. lahko obdeluje osebne podatke iz 8. člena te pogodbe, za namene nudenja storitve iz podjemne pogodbe, ipd.) (bodo dodani z aneksom k tej pogodbi pred izvedbo podobdelave) (bodo dodani z aneksom k tej pogodbi pred izvedbo podobdelave)