Sporazum o obdelavi podatkov
med
Kupec v skladu s Splošnimi pogoji poslovanja kot upravljavec (v nadaljnjem besedilu "upravljavec"),
in .
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Nemčija, kot obdelovalec podatkov (v nadaljnjem besedilu "obdelovalec podatkov", upravljavec in obdelovalec podatkov skupaj "stranki")
Preambula
Upravljavec je v splošnih pogojih poslovanja (v nadaljnjem besedilu: glavna pogodba) naročil obdelovalca podatkov za storitve, določene v tej pogodbi. Del izvajanja pogodbe je obdelava osebnih podatkov. V skladu s tem členom se za obdelavo osebnih podatkov uporablja zlasti člen 2(1) Uredbe (ES) št. 28 Splošne uredbe o varstvu podatkov določa posebne zahteve za tako naročeno obdelavo. Zaradi izpolnjevanja teh zahtev pogodbenici skleneta naslednjo pogodbo o obdelavi podatkov (v nadaljnjem besedilu: pogodba), katere izvajanje se ne plačuje ločeno, razen če je to izrecno dogovorjeno.
§ 1 Opredelitve pojmov
(1) V skladu s členom. 4(7) GDPR je upravljavec subjekt, ki sam ali skupaj z drugimi upravljavci določa namene in sredstva obdelave osebnih podatkov.
(2) V skladu s čl. 4(8) SUVP je obdelovalec podatkov fizična ali pravna oseba, organ, institucija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
(3) V skladu s čl. 4(1) SUVP osebni podatki pomenijo vse informacije v zvezi z določeno ali določljivo fizično osebo (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiva fizična oseba je oseba, ki jo je mogoče neposredno ali posredno določiti, zlasti na podlagi identifikatorja, kot je ime, identifikacijska številka, lokacijski podatki, spletni identifikator ali na podlagi enega ali več dejavnikov, značilnih za fizično, fiziološko, gensko, duševno, ekonomsko, kulturno ali družbeno identiteto te fizične osebe.
(4) Osebni podatki, ki zahtevajo posebno varstvo, so osebni podatki v skladu s čl. 9 GDPR, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu posameznikov, na katere se nanašajo osebni podatki, osebni podatki v skladu s čl. 10 GDPR o kazenskih obsodbah in kaznivih dejanjih ali povezanih varnostnih ukrepih, ter genetski podatki v skladu s čl. (13) GDPR, biometrične podatke v skladu s čl. (14) GDPR, zdravstvene podatke v skladu s členom 4(14) Splošne uredbe o varstvu podatkov. (15) GDPR, in podatke o spolnem življenju ali spolni usmerjenosti fizične osebe.
(5) V skladu s členom 4(2) SUVP je obdelava vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kot so zbiranje, zapisovanje, urejanje, arhiviranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s prenosom, razširjanje ali drugo dajanje na voljo, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
(6) V skladu s členom 4(21) SUVP je nadzorni organ neodvisen državni organ, ki ga država članica ustanovi v skladu s členom 51 SUVP.
§ 2 Predmet pogodbe
(1) Obdelovalec podatkov za upravljavca opravlja storitve, določene v glavni pogodbi. Pri tem pridobi dostop do osebnih podatkov, ki jih obdeluje za upravljavca izključno v njegovem imenu in v skladu z njegovimi navodili. Obseg in namen obdelave podatkov s strani obdelovalca podatkov sta določena v glavni pogodbi in vseh povezanih opisih storitev. Upravljavec je odgovoren za oceno dopustnosti obdelave podatkov.
(2) Pogodbenici skleneta ta sporazum, da bi določili medsebojne pravice in obveznosti v skladu z zakonodajo o varstvu podatkov. V primeru dvoma imajo določbe tega sporazuma prednost pred določbami glavne pogodbe.
(3) Določbe te pogodbe veljajo za vse dejavnosti, povezane z glavno pogodbo, pri katerih obdelovalec podatkov in njegovi zaposleni ali osebe, ki jih obdelovalec podatkov pooblasti, pridejo v stik z osebnimi podatki, ki izvirajo od upravljavca ali so zbrani za upravljavca.
(4) Za trajanje te pogodbe velja trajanje glavne pogodbe, razen če iz naslednjih določb izhajajo dodatne obveznosti ali pravice do odpovedi.
§ 3 Pravica do pouka
(1) Obdelovalec podatkov lahko zbira, obdeluje ali uporablja podatke samo v okviru glavne pogodbe in v skladu z navodili upravljavca. Če se od obdelovalca podatkov zahteva nadaljnja obdelava na podlagi zakonodaje Evropske unije ali držav članic, ki velja zanj, mora pred obdelavo o teh pravnih zahtevah obvestiti upravljavca.
(2) Navodila upravljavca se najprej določijo s tem sporazumom. Kasneje jih lahko upravljavec spremeni, dopolni ali nadomesti v pisni ali besedilni obliki s posameznimi navodili (posamezna navodila). Upravljavec ima pravico, da taka navodila izda kadar koli. To vključuje navodila v zvezi s popravljanjem, brisanjem in blokiranjem podatkov.
(3) Nadzornik vsa izdana navodila dokumentira. Navodila, ki presegajo storitve, dogovorjene v glavni pogodbi, se obravnavajo kot zahteva za spremembo storitve.
(4) Če obdelovalec podatkov meni, da navodilo upravljavca krši določbe o varstvu podatkov, o tem brez nepotrebnega odlašanja obvesti upravljavca. Obdelovalec podatkov ima pravico začasno prekiniti izvajanje zadevnega navodila, dokler ga upravljavec ne potrdi ali spremeni. Obdelovalec podatkov lahko zavrne izvedbo očitno nezakonitega navodila.
§ 4 Vrste obdelanih podatkov, skupina posameznikov, na katere se nanašajo osebni podatki, tretja država
(1) V okviru izvajanja glavne pogodbe ima obdelovalec podatkov dostop do osebnih podatkov, podrobneje opredeljenih v prilogi 1..
(2) Skupina posameznikov, na katere se nanašajo osebni podatki, na katere vpliva obdelava podatkov, je navedena v Prilogi 1..
(3) Prenos osebnih podatkov v tretjo državo se lahko izvede pod pogoji iz člena 3(2). 44 in naslednjih. SPLOŠNE UREDBE O VARSTVU PODATKOV.
§ 5 Zaščitni ukrepi obdelovalca podatkov
(1) Obdelovalec podatkov je dolžan upoštevati zakonske določbe o varstvu podatkov in podatkov, pridobljenih iz domene upravljavca, ne sme razkriti tretjim osebam ali jih izpostaviti njihovemu dostopu. Dokumenti in podatki morajo biti zavarovani pred razkritjem nepooblaščenim osebam, pri čemer se upošteva stanje tehnike.
(2) Obdelovalec podatkov organizira notranjo organizacijo na svojem področju odgovornosti tako, da izpolnjuje posebne zahteve glede varstva podatkov. Sprejme tehnične in organizacijske ukrepe, določene v Prilogi 2, za ustrezno zaščito upravljavčevih podatkov v skladu s čl. 32 Splošne uredbe o varstvu podatkov, ki jih upravljavec priznava kot ustrezne. Obdelovalec podatkov si pridržuje pravico do spremembe sprejetih varnostnih ukrepov, pri čemer mora zagotoviti, da pogodbeno dogovorjena raven varstva ni podcenjena.
(3) Osebam, zaposlenim pri obdelavi podatkov pri obdelovalcu podatkov, je prepovedano zbirati, obdelovati ali uporabljati osebne podatke brez dovoljenja. Obdelovalec podatkov vse osebe, ki jim je zaupal obdelavo in izvajanje te pogodbe (v nadaljnjem besedilu: zaposleni), ustrezno zavezuje (obveznost varovanja zaupnosti, čl. 28(3)(b) Splošne uredbe o varstvu podatkov) in z ustrezno skrbnostjo zagotavlja izpolnjevanje te obveznosti.
(4) Obdelovalec podatkov je imenoval pooblaščeno osebo za varstvo podatkov. Obdelovalčeva pooblaščena oseba za varstvo podatkov je heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
§ 6 Informacijske obveznosti obdelovalca podatkov
(1) V primeru motenj, domnevnih kršitev varstva podatkov ali kršitev pogodbenih obveznosti obdelovalca podatkov, domnevnih varnostnih incidentov ali drugih nepravilnosti pri obdelavi osebnih podatkov s strani obdelovalca podatkov, oseb, ki so pri njem zaposlene v okviru pogodbe, ali tretjih oseb, obdelovalec podatkov brez nepotrebnega odlašanja obvesti upravljavca. Enako velja za revizije obdelovalca podatkov, ki jih opravi nadzorni organ za varstvo podatkov. Obvestilo o kršitvi varstva osebnih podatkov vsebuje vsaj naslednje informacije:
(a) opis narave kršitve varstva osebnih podatkov, vključno s kategorijami in številom prizadetih posameznikov, na katere se nanašajo osebni podatki, prizadetimi kategorijami in številom prizadetih zapisov osebnih podatkov, če je to mogoče;
(b) opis ukrepov, ki jih je obdelovalec podatkov sprejel ali predlagal za odpravo kršitve, in po potrebi ukrepov za ublažitev njenih morebitnih škodljivih učinkov;
(c) opis verjetnih posledic kršitve varstva osebnih podatkov.
(2) Obdelovalec podatkov nemudoma sprejme potrebne ukrepe za zavarovanje podatkov in ublažitev morebitnih škodljivih posledic za posameznike, na katere se nanašajo osebni podatki, ter o tem obvesti upravljavca in zahteva nadaljnja navodila.
(3) Poleg tega je obdelovalec podatkov dolžan upravljavcu kadar koli posredovati informacije, če kršitev iz odstavka 1 vpliva na upravljavčeve podatke.
(4) Obdelovalec podatkov upravljavca obvesti o vseh pomembnih spremembah varnostnih ukrepov v skladu s členom 5(2).
§ 7 Nadzorne pravice upravljavca
(1) Upravljavec se lahko prepriča o tehničnih in organizacijskih ukrepih obdelovalca podatkov pred začetkom obdelave podatkov in nato redno vsako leto. V ta namen lahko upravljavec na primer pridobi informacije od obdelovalca podatkov, pridobi obstoječa potrdila strokovnjakov, certifikate ali notranje revizije ali po pravočasnem usklajevanju osebno pregleda tehnične in organizacijske ukrepe obdelovalca podatkov v običajnem delovnem času ali jih da pregledati pristojni tretji osebi, če ta ni v konkurenčnem razmerju z obdelovalcem podatkov. Upravljavec izvaja preglede le v potrebnem obsegu in pri tem ne sme nesorazmerno ovirati delovanja obdelovalca podatkov.
(2) Obdelovalec podatkov se zavezuje, da bo upravljavcu na njegovo ustno ali pisno zahtevo in v razumnem roku zagotovil vse informacije in dokazila, potrebna za izvedbo preverjanja tehničnih in organizacijskih ukrepov obdelovalca podatkov.
(3) Upravljavec dokumentira rezultate pregleda in o tem obvesti obdelovalca podatkov. V primeru napak ali nepravilnosti, ki jih upravljavec odkrije zlasti med pregledom rezultatov pregleda, upravljavec o tem brez nepotrebnega odlašanja obvesti obdelovalca podatkov. Če se med nadzorom ugotovijo dejstva, katerih preprečitev v prihodnosti zahteva spremembe odrejenega postopka, upravljavec o potrebnih spremembah postopka nemudoma obvesti obdelovalca podatkov.
§ 8 Uporaba ponudnikov storitev
(1) Pogodbeno dogovorjene storitve se opravijo s sodelovanjem ponudnikov storitev, navedenih v prilogi 3 (v nadaljnjem besedilu: podobdelovalci). Upravljavec podeli obdelovalcu podatkov svoje splošno pooblastilo v smislu člena 28(2)(1) Splošne uredbe o varstvu podatkov, da v okviru svojih pogodbenih obveznosti vključi dodatne podobdelovalce ali nadomesti že vključene podobdelovalce.
(2) Obdelovalec podatkov obvesti upravljavca pred vsako nameravano spremembo v zvezi z vključitvijo ali zamenjavo podobdelovalca. Upravljavec lahko ugovarja nameravani vključitvi ali zamenjavi podobdelovalca iz pomembnega razloga v skladu z zakonodajo o varstvu podatkov.
(3) Ugovor zoper nameravano vključitev ali zamenjavo podobdelovalca je treba vložiti v dveh tednih po prejemu informacije o spremembi. Če ugovor ni vložen, se šteje, da je vključitev ali zamenjava odobrena. Če obstaja pomemben razlog v skladu z zakonom o varstvu podatkov in med upravljavcem in obdelovalcem ni mogoča sporazumna rešitev, ima upravljavec posebno pravico do prekinitve pogodbe ob koncu meseca, ki sledi ugovoru.
(4) Obdelovalec podatkov mora pri angažiranju podobdelovalcev te zavezati v skladu z določbami tega sporazuma.
(5) Razmerje s podobdelovalcem v smislu teh določb ne obstaja, če obdelovalec podatkov tretjim osebam naroči storitve, ki se štejejo zgolj za pomožne storitve. To so na primer poštne, transportne in ladijske storitve, storitve čiščenja, telekomunikacijske storitve brez posebnega sklicevanja na storitve, ki jih obdelovalec podatkov zagotavlja upravljavcu, in storitve varovanja. Storitve vzdrževanja in testiranja predstavljajo razmerja s podobdelovalci, za katera je potrebno soglasje, če se zagotavljajo za sisteme IT, ki se uporabljajo tudi v povezavi z zagotavljanjem storitev za upravljavca.
§ 9 Zahteve in pravice posameznikov, na katere se nanašajo osebni podatki
(1) Obdelovalec podatkov upravljavca podpira z ustreznimi tehničnimi in organizacijskimi ukrepi pri izpolnjevanju obveznosti upravljavca v skladu s členi 12-22 in 32 do 36 SUVP.
(2) Če posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravice, kot so pravica do dostopa, popravka ali izbrisa v zvezi s svojimi podatki, neposredno proti obdelovalcu podatkov, se ta ne odzove samostojno, temveč posameznika, na katerega se nanašajo osebni podatki, napoti k upravljavcu in počaka na njegova navodila.
§ 10 Odgovornost
(1) V notranjem razmerju z obdelovalcem podatkov je upravljavec sam odgovoren posamezniku, na katerega se nanašajo osebni podatki, za odškodnino za škodo, ki jo je posameznik, na katerega se nanašajo osebni podatki, utrpel zaradi nedopustne ali nepravilne obdelave podatkov v skladu z zakoni o varstvu podatkov ali uporabe v okviru naročene obdelave.
(2) Obdelovalec podatkov je neomejeno odgovoren za škodo, če je vzrok za škodo namerna ali hudo malomarna kršitev dolžnosti s strani obdelovalca podatkov, njegovega zakonitega zastopnika ali pooblaščenca.
(3) Obdelovalec podatkov je odgovoren za malomarno ravnanje le v primeru kršitve obveznosti, katere izpolnitev je predpogoj za pravilno izvajanje pogodbe in na katere spoštovanje se upravljavec redno zanaša in se lahko zanaša, vendar omejeno na povprečno škodo, značilno za pogodbo. V vseh drugih pogledih je odgovornost Obdelovalca - vključno z odgovornostjo za njegove posrednike - izključena.
(4) Omejitev odgovornosti v skladu s členom 10.3 ne velja za odškodninske zahtevke, ki izhajajo iz poškodb življenja, telesa, zdravja ali iz prevzema jamstva.
§ 11 Prenehanje glavne pogodbe
(1) Po prenehanju glavne pogodbe obdelovalec podatkov upravljavcu vrne vse dokumente, podatke in nosilce podatkov, ki mu jih je posredoval, ali pa jih na zahtevo upravljavca - razen če v skladu s pravom Unije ali pravom Zvezne republike Nemčije obstaja obveznost hrambe osebnih podatkov - izbriše. To velja tudi za vse varnostne kopije podatkov pri obdelovalcu podatkov. Obdelovalec podatkov na zahtevo predloži dokumentirano dokazilo o pravilnem izbrisu vseh podatkov.
(2) Upravljavec ima pravico, da pri obdelovalcu podatkov na ustrezen način nadzoruje popolno in pogodbeno vrnitev ali izbris podatkov.
(3) Obdelovalec podatkov je dolžan varovati zaupnost podatkov, za katere je izvedel v zvezi z glavno pogodbo, tudi po izteku glavne pogodbe. Ta pogodba velja tudi po koncu glavne pogodbe, dokler obdelovalec podatkov razpolaga z osebnimi podatki, ki mu jih je posredoval upravljavec ali jih je zbral za upravljavca.
§ 12 Končne določbe
(1) Če obdelovalec podatkov podpornih dejanj iz te pogodbe izrecno ne izvaja brezplačno, lahko upravljavcu zaračuna razumno pristojbino, razen če je takšna podpora neposredno potrebna zaradi njegovih dejanj ali opustitev.
(2) Spremembe in dopolnitve tega sporazuma morajo biti sklenjene v pisni obliki. To velja tudi za vsako opustitev te formalne zahteve. Prednost posameznih pogodbenih dogovorov ostane nespremenjena.
(3) Če so ali postanejo posamezne določbe te pogodbe v celoti ali delno neveljavne ali neizvršljive, to ne vpliva na veljavnost preostalih določb.
(4) Za to pogodbo velja nemško pravo.
Priloga 1 - Opis podatkov/kategorij podatkov in prizadetih posameznikov, na katere se nanašajo osebni podatki/skupin prizadetih posameznikov, na katere se nanašajo osebni podatki
| Vrsta stranke | Kategorije posameznikov, na katere se nanašajo osebni podatki | Kategorije podatkov |
|---|---|---|
| Računi podjetja | Zaposleni | Ime, kontaktni podatki, položaj, oddelek, fotografija, podatki o podjetju, povezave do družbenih medijev |
| Računi podjetja in posamezni uporabniki | Zainteresirane stranke | naslov IP (mesto, država), kontaktni podatki, ime, podjetje, sporočilo (neobvezno) |
Priloga 2 - Tehnični in organizacijski ukrepi obdelovalca podatkov
1. Uvod
Ta dokument povzema tehnične in organizacijske ukrepe, ki jih je sprejel obdelovalec v smislu člena 3. 32 odst. 1 SPLOŠNE UREDBE O VARSTVU PODATKOV. Gre za ukrepe, ki jih je obdelovalec sprejel za zaščito osebnih podatkov. Namen dokumenta je pomagati Obdelovalcu pri izpolnjevanju njegovih obveznosti glede odgovornosti v skladu s čl. 5(2) Splošne uredbe o varstvu podatkov.
2. Zaupnost (člen 32(1)(b) Splošne uredbe o varstvu podatkov)
2.1 Nadzor vstopa
Naslednji izvedeni ukrepi preprečujejo dostop nepooblaščenih oseb do sistemov za obdelavo podatkov:
Delo od doma: nepooblaščene osebe nimajo dostopa do stanovanja zaposlenih.
Delo v domači pisarni: navodilo zaposlenim, naj delajo v ločeni pisarni od svoje dnevne sobe, če je to mogoče.
2.2 Nadzor sprejema
Naslednji izvedeni ukrepi preprečujejo dostop nepooblaščenih oseb do sistemov za obdelavo podatkov:
Preverjanje pristnosti z uporabnikom in geslom
Uporaba požarnih zidov
Uporaba upravljanja mobilnih naprav
Šifriranje nosilcev podatkov
Samodejno zaklepanje namizja
Upravljanje pooblastil uporabnikov
Ustvarjanje uporabniških profilov
Osrednja pravila za gesla
Uporaba dvostopenjskega preverjanja pristnosti
Pravilnik podjetja o varnih geslih
Splošno navodilo za ročno zaklepanje namizja, ko zapustite delovno postajo
2.3 Nadzor dostopa
Naslednji izvedeni ukrepi zagotavljajo, da nepooblaščene osebe nimajo dostopa do osebnih podatkov:
beleženje dostopa do aplikacij (zlasti pri vnosu, spreminjanju in brisanju podatkov).
Število skrbnikov je čim manjše.
Upravljanje uporabniških pravic s strani sistemskih administratorjev
navodilo zaposlenim, da bodo podatki izbrisani le po posvetovanju.
2.4 Nadzor ločevanja
Naslednji ukrepi zagotavljajo, da se osebni podatki, zbrani za različne namene, obdelujejo ločeno:
Fizično ločeno shranjevanje v ločenih sistemih ali na ločenih nosilcih podatkov.
Ločitev proizvodnega in preskusnega sistema
Logična ločitev odjemalcev (na strani programske opreme)
Opredelitev pravic v zbirki podatkov
notranja navodila za anonimizacijo/ psevdonimizacijo osebnih podatkov v primeru razkritja ali po izteku zakonsko določenega roka za izbris, če je to mogoče.
3. Integriteta (člen 32(1)(b) Splošne uredbe o varstvu podatkov)
3.1 Nadzor prenosa
Zagotovljeno je, da osebnih podatkov med prenosom ali shranjevanjem na nosilcih podatkov ni mogoče brati, kopirati, spreminjati ali odstraniti brez dovoljenja in da je mogoče preveriti, katere osebe ali organi so prejeli osebne podatke. Za zagotovitev tega so bili izvedeni naslednji ukrepi:
Šifriranje WLAN (WPA2 z močnim geslom)
beleženje dostopov in priklicov
Zagotavljanje podatkov prek šifriranih povezav, kot sta SFTP ali HTTPS.
Prepoved nalaganja podatkov podjetja na zunanje strežnike
3.2 Nadzor vhoda
Naslednji ukrepi zagotavljajo, da je mogoče preveriti, kdo in kdaj je obdeloval osebne podatke v sistemih za obdelavo podatkov:
beleženje vnosa, spreminjanja in brisanja podatkov
Ročni ali samodejni nadzor dnevnikov
sledljivost vnosa, spreminjanja in brisanja podatkov prek posameznih uporabniških imen (in ne skupin uporabnikov).
Jasne odgovornosti za izbrise
legal.dpa.latest.annexes.2.3.2.text.6
4. Razpoložljivost in odpornost (člen 32(1)(b) GDPR)
Naslednji ukrepi zagotavljajo, da so osebni podatki zaščiteni pred naključnim uničenjem ali izgubo in da so stranki vedno na voljo:
Gasilni aparati v strežniških prostorih
Naprave za spremljanje temperature in vlage v strežniških prostorih
Klimatske naprave v strežniških prostorih
Zaščitni trakovi za vtičnice v strežniških prostorih
Brezprekinitveno napajanje (UPS)
Videonadzor v strežniških prostorih
Alarmno sporočilo za nepooblaščen dostop do strežniških prostorov
Redne varnostne kopije
Preverjanje postopka varnostnega kopiranja
shranjevanje varnostnih kopij podatkov na varni lokaciji zunaj kraja.
Redni testi za obnovitev podatkov in beleženje rezultatov.
Brez sanitarnih prostorov v strežniški sobi ali nad njo
Gostovanje (vsaj najpomembnejših podatkov) pri profesionalnem gostitelju
5. Postopki za redno pregledovanje, ocenjevanje in vrednotenje (člen 32(1)(d) SUVP; člen 25(1) SUVP)
5.1 Upravljanje varstva podatkov
Namen naslednjih ukrepov je zagotoviti, da organizacija izpolnjuje osnovne zahteve zakonodaje o varstvu podatkov:
Uporaba platforme heyData za upravljanje varstva podatkov
Imenovanje pooblaščene osebe za varstvo podatkov heyData
Obveznost zaposlenih, da ohranijo tajnost podatkov
Redno usposabljanje zaposlenih o varstvu podatkov
Vodenje pregleda nad dejavnostmi obdelave (člen 30 GDPR)
5.2 Upravljanje odziva na incidente
Namen naslednjih ukrepov je zagotoviti, da se v primeru kršitev varstva podatkov sprožijo postopki poročanja:
Postopek poročanja o kršitvah varstva podatkov v skladu s čl. 4 št. 12 Splošne uredbe o varstvu podatkov nadzornim organom (člen 33 Splošne uredbe o varstvu podatkov)
Postopek obveščanja o kršitvah varstva podatkov v skladu s členom. 4 št. 12 Splošne uredbe o varstvu podatkov posameznikom, na katere se nanašajo osebni podatki (člen 34 Splošne uredbe o varstvu podatkov)
Vključevanje pooblaščene osebe za varstvo podatkov v varnostne incidente in kršitve varstva podatkov
Uporaba požarnih zidov
5.3 Privzete nastavitve, prijazne do varstva podatkov (člen 25, odstavek 2 GDPR)
Namen naslednjih ukrepov je zagotoviti, da se v primeru kršitev varstva podatkov sprožijo postopki poročanja:
Postopek poročanja o kršitvah varstva podatkov v skladu s čl. 4 št. 12 Splošne uredbe o varstvu podatkov nadzornim organom (člen 33 Splošne uredbe o varstvu podatkov)
Postopek obveščanja o kršitvah varstva podatkov v skladu s členom. 4 št. 12 Splošne uredbe o varstvu podatkov posameznikom, na katere se nanašajo osebni podatki (člen 34 Splošne uredbe o varstvu podatkov)
5.4 Nadzor naročil
Naslednji ukrepi zagotavljajo, da se osebni podatki lahko obdelujejo le v skladu z navodili:
pisna navodila izvajalcu ali navodila v besedilni obliki (npr. s pogodbo o obdelavi podatkov).
zagotavljanje uničenja podatkov po zaključku naročila, npr. z zahtevo po ustreznih potrditvah.
potrdilo izvajalcev, da svoje zaposlene zavezujejo k varovanju tajnosti podatkov (običajno v pogodbi o obdelavi podatkov).
skrbna izbira izvajalcev (zlasti glede varnosti podatkov).
Stalni pregled izvajalcev in njihovih dejavnosti
zagotavljanje uničenja podatkov po zaključku naročila, npr. z zahtevo po ustreznih potrditvah.
Priloga 3 - Sedanji podobdelovalci
Vsi ameriški podobdelovalci so certificirani v skladu z Okvirom zasebnosti podatkov.
| Ime | Naslov | Funkcija | Lokacija strežnika |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Gostovanje in infrastruktura | EU |
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Omrežje za dostavo vsebine in varnost | Globalno, odvisno od lokacije uporabnika |
| ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Dostava e-pošte | ZDA |
| Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Poročanje o napakah in spremljanje | EU |
| Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Storitve za stranke in komunikacija | EU |
| HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Storitve za stranke in komunikacija | EU |
| Apideck BV | Kammenstraat 43 bus 301, 2000 Antwerp, Belgium | Enotni API (CRM in HR) | EU |
Različica 1.4, ki velja od 17. decembra 2024
| Ime: | |
| Položaj: | |
| E-pošta: | |
| Datum: | |
| Podpis: |
| Ime: | Florian Theimer |
| Položaj: | Founder & CEO |
| E-pošta: | privacy@spreadly.app |
| Datum: | |
| Podpis: |
Natisnite to pogodbo o obdelavi podatkov in podpisano različico s priloženo številko stranke pošljite na naslov privacy@spreadly.app. Podpisano različico boste od nas prejeli v naslednjih delovnih dneh.
Želite podpisano kopijo naše pogodbe o obdelavi podatkov?
Natisnite to pogodbo o obdelavi podatkov in podpisano različico s priloženo številko stranke pošljite na naslov privacy@spreadly.app.
Podpisano različico boste od nas prejeli v naslednjih delovnih dneh.