Pogodba o obdelavi naročila v skladu s členom 28(3) Splošne uredbe o varstvu podatkov (v nadaljnjem besedilu: GDPR)

NatureWebServices GmbH deluje kot obdelovalec v skladu s členom 28 GDPR (v nadaljnjem besedilu: izvajalec) pri zagotavljanju storitev za stranke, ki storitve uporabljajo kot podjetniki. Podjetnik v smislu teh pogojev uporabe je fizična ali pravna oseba ali poslovna družba s pravno sposobnostjo, ki ob sklenitvi pogojev uporabe deluje v okviru svoje gospodarske ali samostojne poklicne dejavnosti. V tem primeru je oseba, odgovorna za obdelavo podatkov, stranka, ki storitve uporablja kot podjetnik (v nadaljnjem besedilu: stranka). Pogodba o obdelavi podatkov v skladu s tretjim odstavkom 28. člena GDPR je med izvajalcem in naročnikom sklenjena, ko naročnik sprejme pogoje uporabe.

• Predmet pogodbe o obdelavi naročila je obdelava podatkov o dostopu do spletne storitve in storitve APP (e-poštni naslov), prostovoljno vnesenih podatkov v aplikacijo (naziv, ime, priimek) ter slik in/ali videoposnetkov v skladu s pogoji uporabe (v nadaljevanju „dejavnost obdelave“).
• Ta pogodba o obdelavi podatkov se začne s sprejetjem pogojev uporabe in konča, kot je opisano v odstavku 10 Trajanje pogodbe in odpoved pogodbe citirano.
• Obdelava se izvaja izključno v državi članici Evropske unije ali državi podpisnici Sporazuma o Evropskem gospodarskem prostoru. Za vsako premestitev storitve ali njenih delov v tretjo državo je potrebno predhodno soglasje stranke.
• Izvajalec se zavezuje, da bo podatke in rezultate obdelave obdeloval izključno v okviru teh pogojev uporabe. Če izvajalec prejme uradno odredbo za razkritje naročnikovih podatkov, mora - če je to zakonsko dovoljeno - o tem nemudoma obvestiti naročnika in ga napotiti na organ. Prav tako je za vsako obdelavo podatkov za lastne namene izvajalca potrebno pisno soglasje naročnika.
• Stranka je izključno odgovorna za oceno dopustnosti obdelave v skladu s členom 6(1) GDPR in za zaščito pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s členi 12 do 22 GDPR. Izvajalec posreduje poizvedbe naročniku, če so prepoznavno naslovljene izključno na naročnika.
• Obveznosti izvajalca
  • Izvajalec potrjuje, da je seznanjen z ustreznimi predpisi GDPR o varstvu podatkov za obdelavo naročil.
  • Izvajalec pravno zavezujoče izjavlja, da je vse osebe, pooblaščene za obdelavo podatkov, pred začetkom opravljanja dejavnosti zavezal k varovanju zaupnosti ali da zanje velja ustrezna zakonska obveznost varovanja zaupnosti. Zlasti obveznost varovanja zaupnosti oseb, pooblaščenih za obdelavo podatkov, ostane v veljavi tudi po prenehanju njihove dejavnosti in odhodu od izvajalca.
  • Izvajalec pravno zavezujoče izjavlja, da je sprejel vse potrebne ukrepe za zagotovitev varnosti obdelave v skladu z 32. členom GDPR.
  • Izvajalec zagotovi raven varstva storitve, ki ustreza tveganju za pravice in svoboščine fizičnih oseb, na katere obdelava vpliva. V ta namen se upoštevajo cilji varstva iz člena 32(1) SUVP, kot so zaupnost, celovitost in razpoložljivost sistemov in storitev ter njihova odpornost glede na vrsto, obseg, okoliščine in namen obdelave, tako da se tveganje trajno zmanjša z ustreznimi tehničnimi in organizacijskimi ukrepi.
  • Izvajalec pregleda, oceni in ovrednoti učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave po potrebi, vendar najmanj enkrat letno.
  • Izvajalec sprejme tehnične in organizacijske ukrepe, s katerimi zagotovi, da lahko naročnik kadar koli v zakonsko določenih rokih uresniči pravice posameznika, na katerega se nanašajo osebni podatki, v skladu s poglavjem III GDPR (obveščanje, dostop, popravek in izbris, prenosljivost podatkov, ugovor in avtomatizirano odločanje v posameznih primerih), ter mu prek spletnih in APP storitev zagotovi vse potrebne informacije. Če je izvajalcu poslana ustrezna zahteva in izvajalec ugotovi, da vlagatelj napačno meni, da je naročnik obdelave podatkov, ki jo izvaja, mora izvajalec zahtevo nemudoma posredovati naročniku in o tem obvestiti vlagatelja.
  • Izvajalec podpira naročnika pri izpolnjevanju obveznosti iz 32. do 36. člena GDPR (ukrepi za varnost podatkov, obveščanje nadzornega organa o kršitvah varstva osebnih podatkov, obveščanje osebe, ki jo je kršitev varstva osebnih podatkov prizadela, ocena učinka v zvezi z varstvom podatkov, predhodno posvetovanje).
  • Izvajalec v potrebnem obsegu sodeluje pri izpolnjevanju pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s členi 12 do 22 SUVP s strani naročnika, pri pripravi evidenc dejavnosti obdelave in pri potrebnih ocenah učinka v zvezi z varstvom podatkov naročnika ter naročniku nudi ustrezno podporo, kolikor je to mogoče.
  • Izvajalec mora naročnika obvestiti o vseh motnjah, kršitvah s strani izvajalca ali oseb, zaposlenih pri izvajalcu, kršitvah predpisov o varstvu podatkov ali specifikacij iz naročila ter o sumu kršitev varstva podatkov ali nepravilnosti pri obdelavi osebnih podatkov. To velja tudi v zvezi z vsemi obveznostmi naročnika glede poročanja in obveščanja v skladu s 33. in 34. členom GDPR. Izvajalec bo naročnika po potrebi na ustrezen način podprl pri izpolnjevanju njegovih obveznosti v skladu s členoma 33 in 34 GDPR.
  • Izvajalec za obdelavo tega naročila sestavi katalog obdelave v skladu s 30. členom GDPR.
  • Naročnik ima pravico, da v zvezi z obdelavo podatkov, ki jih je posredoval, kadar koli pregleda in nadzoruje objekte za obdelavo podatkov, vključno s tretjimi osebami, ki jih je pooblastil naročnik. Izvajalec se zavezuje, da bo naročniku zagotovil informacije, potrebne za spremljanje izpolnjevanja obveznosti, določenih v tej pogodbi.
  • Izvajalec naročniku ponuja možnost uporabe spletnih storitev in storitev APP,
    • kadar koli prenesti posamezne ali vse slike in/ali videoposnetke in/ali
    • izbrisati posamezne ali vse slike in/ali videoposnetke na pogodbenikovem strežniku.

V skladu s členom 28(3)(g) GDPR se z izbrisom podatkov za dostop (e-poštni naslov), dodatnih podatkov, prostovoljno vnesenih v aplikacijo (naziv, ime, priimek), in slik in/ali videoposnetkov, ki jih stranka vnese prek spletnih storitev in storitev APP, izbrišejo tudi vsi izbrisani osebni podatki izvajalca in njegovih podizvajalcev. Podatki v varnostnih datotekah se izbrišejo po koncu naslednjega cikla varnostnega kopiranja.

• Podprocesorji
  • Naročnik izvajalcu podeli splošno pooblastilo za uporabo nadaljnjih podobdelovalcev v smislu člena 28 GDPR za izpolnitev pogodbe. Zagotoviti je treba, da bo podobdelovalec izpolnjeval enake obveznosti, kot jih ima izvajalec na podlagi te pogodbe. Če podobdelovalec ne izpolnjuje svojih obveznosti glede varstva podatkov, je izvajalec naročniku odgovoren za izpolnjevanje obveznosti podobdelovalca.
  • Izvajalec mora naročnika obvestiti o imenu in naslovu ter nameravani dejavnosti podobdelovalca na zahtevo po elektronski pošti (info@icuserver.com) z. Izvajalec zagotovi, da skrbno izbere podobdelovalca, pri čemer upošteva zlasti ustreznost tehničnih in organizacijskih ukrepov, ki jih sprejme podobdelovalec v smislu člena 32 SUVP.