Skip to Content
Go back
BAS-IP / DODATEK O OBDELAVI PODATKOV

Zadnja posodobitev: [10.12.2025]

Ta dodatek o obdelavi podatkov (v nadaljevanju ‘DPA‘) je sklenjen med vami (v nadaljevanju ‘Naročnik‘, ‘vi‘, ‘vaš‘) in BAS-IP DISTRIBUTION LTD (v nadaljevanju ‘Podjetje‘, ‘BAS-IP‘, ‘mi‘, ‘mi‘ ali ‘naš‘), v nadaljevanju posamezno imenovani ‘Stranka‘ ali skupaj kot ‘Zabave. Ta DPA dopolnjuje Pogoje in določila (v nadaljevanju ‘Sporazum‘), sklenjene med strankama.

Ta DPA ureja obdelavo osebnih podatkov, ki jih stranka posreduje BAS-IP v povezavi z uporabo izdelkov in storitev BAS-IP (skupaj ‘Storitve‘), kot tudi vseh osebnih podatkov, ki jih BAS-IP pridobi med izvajanjem storitev za stranko.

Če v tem DPA ni drugače opredeljeno, bodo vsi izrazi z velikimi črkami, uporabljeni v tem DPA, imeli pomen, določen v sporazumu. Ta DPA ostane v veljavi do prekinitve pogodbe med vami in nami, ki ureja vašo uporabo storitev. V primeru kakršnegakoli konflikta med tem DPA in Sporazumom veljajo določbe tega DPA glede obdelave osebnih podatkov.

1. Definicije

Za namen tega DPA veljajo naslednje definicije:

Podatki odjemalca” pomenijo vse osebne podatke, ki jih odjemalec naloži, prenese ali drugače posreduje BAS-IP v povezavi s storitvami, pa tudi vse osebne podatke, ki jih BAS-IP obdela med izvajanjem storitev.

Zakoni o varstvu podatkov” pomenijo vse veljavne zakone in predpise, povezane z obdelavo podatkov strank, vključno s tistimi Evropske unije, Evropskega gospodarskega prostora in njenih držav članic, Združenega kraljestva, kot so:

  • Splošno uredbo EU o varstvu podatkov (EU GDPR);
  • Splošno uredbo o varstvu podatkov Združenega kraljestva (UK GDPR);
  • Zakon o varstvu podatkov iz leta 2018;
  • Zakon o uporabi in dostopu do podatkov 2025 (DUAA);
  • vse druge veljavne zakone in predpise o varstvu podatkov, v obsegu, ki velja za stranke in postopke obdelave po tej DPA – kateri koli drugi veljavni zakoni in predpisi.

Mehanizem prenosa podatkov” pomeni vsak pravno priznan mehanizem, instrument ali okvir, ki omogoča prenos podatkov strank iz ene jurisdikcije v drugo v skladu z veljavno zakonodajo o varstvu podatkov, vključno z EU standardnimi pogodbenimi klavzulami in britanskim dodatkom.

Vrhovna sodišča EU” pomeni standardne pogodbene klavzule EU za prenos podatkov strank tretjim državam v skladu z uredbo (EU) 2016/679 Evropskega parlamenta in sveta, potrjeno z izvršilno odločbo Evropske komisije (EU) 2021/914 z dne 4. junija 2021, kot je trenutno določeno v https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Splošna uredba o varstvu podatkov (GDPR)” pomeni Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o zaščiti fizičnih oseb pri obdelavi osebnih podatkov in prostem pretoku teh podatkov ter o razveljavitvi Direktive 95/46/ES.

Mednarodni prenos podatkov” pomeni vsak prenos podatkov strank iz države, v kateri se podatki zbirajo, v državo zunaj te jurisdikcije, kjer veljavni zakoni o varstvu podatkov zahtevajo ustrezne varovalke za tak prenos.

Javni organ” pomeni vladno agencijo ali organ pregona, vključno s sodnimi organi.

Občutljivi podatki strank” pomenijo podatke o stranki, ki razkrivajo rasni ali etnični izvor, politična prepričanja, verska ali filozofska prepričanja ali članstvo v sindikatu, genetske podatke ali biometrične podatke z namenom edinstvene identifikacije fizične osebe, podatke o zdravju ali spolnem življenju ali spolni usmerjenosti osebe ali podatke, povezane s kazenskimi obsodbami in kaznivimi dejanji.

Storitve” pomenijo storitve, ki jih podjetje nudi naročniku.

Nadzorni organ” pomeni neodvisni javni organ, odgovoren za nadzor uporabe zakonodaje o varstvu podatkov.

Tehnični in organizacijski varnostni ukrepi” pomenijo ukrepe, namenjene zaščiti osebnih podatkov pred nenamernim uničenjem ali nenamerno izgubo, spremembo, nepooblaščenim razkritjem ali dostopom, zlasti kadar obdelava vključuje prenos podatkov prek omrežja in pred vsemi drugimi nezakonitimi oblikami obdelave.

UK GDPR” pomeni ohranjeno različico Splošne uredbe EU o varstvu podatkov, saj je del britanske zakonodaje, skupaj z vsemi spremembami, ki jih je uvedel Zakon o varstvu podatkov iz leta 2018 in drugo veljavno zakonodajo Združenega kraljestva, ki ureja obdelavo osebnih podatkov.

Dodatek Združenega kraljestva” pomeni dodatek o mednarodnem prenosu podatkov k standardnim pogodbenim klavzulam EU, ki ga je izdal Informacijski komisar za stranke, ki izvajajo omejene prenose v smislu britanskih zakonov o varstvu podatkov, kot je trenutno določeno v https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

»Upravljavec«, »procesor«, »podprocesor«, »subjekt podatkov«, »osebni podatki« in »obdelava« imajo pomen, kot ga določajo zakoni o varstvu podatkov.

2. Vloge in odgovornosti

Kadar BAS-IP obdeluje podatke strank v vašem imenu v povezavi s storitvami, priznavate in se strinjate, da ste pri obdelavi podatkov strank vi upravljavec ali obdelovalec, mi pa smo obdelovalec ali podprocesor (kot je opredeljeno z zakoni o varstvu podatkov), ki deluje v vašem imenu. Opis takšne obdelave je naveden v Prilogi 1 tega DPA. Ta DPA se ustrezno uporablja za uveljavljene vloge in ne velja za situacije, ko kot nadzornik ravnamo v skladu s politiko zasebnosti BAS-IP.

Če je naročnik procesor, stranka BAS-IP zagotovi, da so bila navodila in dejanja naročnika glede osebnih podatkov, vključno z imenovanjem BAS-IP za podprocesorja in, kjer je primerno, sklepanjem EU SCC-jev ali drugih dodatkov po 9. členu tega DPA (vključno z morebitnimi spremembami v spodnjem 9. členu),  za čas trajanja tega DPA ostajajo) odobreni s strani ustreznega tretjega upravljavca.

3. Navodila

Stranke se strinjajo, da ta DPA in ustrezna pogodba predstavljata popolna in končna dokumentirana navodila naročnika glede obdelave podatkov strank (v nadaljevanju ‘Navodila‘), kjer stranka deluje kot kontrolor ali procesor, BAS-IP pa kot procesor ali podprocesor po zakonih o varstvu podatkov.

Vsa dodatna ali alternativna navodila morajo biti podpisana s strani pogodbenic in morajo biti skladna s to DPA in Pogodbo.

4. Opis obdelave

Obdelava podatkov strank v imenu stranke v povezavi s storitvami je opisana v prilogi 1 tega DPA. Pridržujemo si pravico, da občasno posodobimo opis obdelave, da odraža novo funkcionalnost, ki je del storitev.

5. Obveznosti naročnika

5.1. Obveznosti kontrolorja

V okviru DPA, ko stranka deluje kot kontrolor, je odgovorna za izpolnjevanje vseh zahtev, ki veljajo za stranko kot kontrolorja po zakonih o varstvu podatkov.

Ko delujete kot kontrolor, morate:

(a) ohranjati točnost, kakovost, zaupnost in varnost podatkov strank;

(b) izpolnjevati in izpolnjevati svoje obveznosti po zakonih o varstvu podatkov, vključno s pravicami subjektov, varnostjo podatkov in zaupnostjo, ter zagotoviti ustrezno pravno podlago za obdelavo osebnih podatkov;

(c) zagotavlja BAS-IP le podatke o strankah, ki so bili zakonito pridobljeni, in zagotavlja, da so ti podatki ustrezni, relevantni in sorazmerni z namenom;

(d) zagotoviti, da so vaša navodila za BAS-IP glede obdelave podatkov strank skladna z zakoni o varstvu podatkov, vključno s principi minimizacije podatkov, omejevanja namena in omejevanja shranjevanja.

5.2. Obveznosti procesorja

V okviru DPA je odjemalec odgovoren za izpolnjevanje vseh zahtev, ki veljajo za odjemalca kot obdelovalca po zakonih o varstvu podatkov.

Ko delujete kot procesor, morate:

(a) zagotavljajo BAS-IP le navodila za obdelavo, ki natančno odražajo dokumentirana navodila ustreznega krmilnika;

(b) zagotavlja BAS-IP le podatke strank, ki so bili zakonito pridobljeni od ustreznega upravljavca in so ustrezni, relevantni ter omejeni na tisto, kar je potrebno za dovoljene namene;

(c) ohranjati preglednost z ustreznim kontrolorjem glede sodelovanja BAS-IP in vseh podprocesorjev;

(d) izpolnjevati vse obveznosti po veljavnih zakonih o varstvu podatkov kot obdelovalec;

(e) zagotoviti, da vaše osebje ali katera koli tretja oseba, ki dostopa do podatkov strank, spoštuje to DPA in Pogodbo.

6. Obveznosti BAS-IP

6.1. Splošne obveznosti

Ko BAS-IP deluje kot procesor/podprocesor, moramo:

(a) obdelovati podatke strank v skladu z vašimi navodili in izključno za določene namene;

(b) vas obvestiti, če, po razumnem mnenju BAS-IP:

(i) vaša navodila kršijo ali lahko kršijo veljavne zakone o varstvu podatkov; ali

(ii) BAS-IP ne more upoštevati vaših navodil;

(c) izvajati in vzdrževati ustrezne tehnične in organizacijske ukrepe za zagotavljanje zaupnosti podatkov strank;

(d) spoštuje vse veljavne zakone o varstvu podatkov, vključno z obveznostmi glede pravic subjektov, varnosti podatkov in zaupnosti;

(e) zagotoviti, preko pisnih pogodb ali drugih pravno zavezujočih sredstev, da je vsak podprocesor, ki obdeluje podatke strank v imenu BAS-IP, podvržen enakovrednim obveznostim varstva podatkov, kot je določeno v tem DPA in Sporazumu;

(f) voditi natančne evidence vseh procesnih dejavnosti, izvedenih v vašem imenu po tej DPA, in vam na zahtevo posredovati takšne evidence;

(g) vas brez nepotrebnega odlašanja obvestiti, če BAS-IP izve, da so vaši podatki netočni, nepopolni ali zastareli;

(g) uporabiti ustrezne in nujne varovalke ali omejitve pri obdelavi občutljivih podatkov strank, kot to zahtevajo zakoni o varstvu podatkov ali navodila;

(h) vam zagotovi vse informacije, ki so razumno potrebne za dokazovanje skladnosti BAS-IP z obveznostmi po veljavni zakonodaji o varstvu podatkov.

6.2. Obvestila stranki

Ko bomo obveščeni, vas bomo obvestili o morebitni pravno zavezujoči zahtevi za razkritje podatkov strank s strani javnega organa, razen če nam zakon drugače prepoveduje obveščati stranko, na primer zaradi ohranitve zaupnosti preiskave javnega organa. Obvestili vas bomo, če BAS-IP izve za kakršnokoli obvestilo, poizvedbo ali preiskavo nadzornega organa v zvezi z obdelavo podatkov strank po tej DPA, ki jo izvajamo med vami in nami.

6.3. Zaupnost

Ne bomo dostopali, uporabljali ali razkrivali nobenih podatkov strank tretji osebi, razen kadar je to potrebno za vzdrževanje ali zagotavljanje storitev ali za izpolnjevanje pogodbenih in pravnih obveznosti ali zavezujočega ukaza javnega organa (kot je sodni poziv ali sodni nalog).

Poskrbeli bomo, da bo vsak zaposleni/pogodbenik, ki mu pooblastimo dostop do podatkov strank v našem imenu, podvržen ustrezni zaupnosti, pogodbenim ali zakonskim obveznostim glede podatkov strank.

6.4. Varnostni ukrepi

Izvajali in vzdrževali bomo ustrezne tehnične in organizacijske ukrepe za zaščito podatkov strank pred morebitnimi vdori v podatke, kot so dejansko ali domnevno nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do podatkov strank, ki so preneseni, shranjeni ali drugače obdelani (v nadaljevanju ‘varnostni incidenti‘) v skladu z našimi varnostnimi standardi, določenimi v prilogi 2 tega DPA.

Priznavate, da so varnostni ukrepi predmet tehničnega napredka, zato lahko po lastni presoji spremenimo ali posodobimo Prilogo 2 tega DPA, pod pogojem, da takšna sprememba ali posodobitev ne povzroči bistvenega poslabšanja varnostnih ukrepov, ki jih ponuja Priloga 2 tega DPA.

6.5. Varnostni incident

Ko bomo izvedeli za varnostni incident, bomo:

  • vas obvestiti brez nepotrebnega odlašanja, ko bomo izvedeli za varnostni incident;
  • zagotoviti pravočasne informacije v zvezi z varnostnim incidentom (vrsta osebnih podatkov, kategorije in potencialno število prizadetih posameznikov ali zapisov), ko to postane znano ali če to upravičeno zahtevate; in
  • nemudoma sprejmite razumne ukrepe za zajezitev in preiskavo vsakega varnostnega incidenta, da lahko obvestite pristojne organe in/ali prizadete subjekte o varnostnem incidentu.

Naše obveščanje ali odziv na varnostni incident ne sme biti razumljeno kot priznanje kakršnekoli krivde ali odgovornosti v zvezi z varnostnim incidentom.

6.6. Vrnitev ali izbris podatkov strank

Po prekinitvi ali poteku dogovora, sklenjenega med vami in nami, bomo izbrisali ali vrnili vse podatke strank, ki so v naši posesti ali pod našim nadzorom. Ta zahteva ne velja v obsegu, v katerem nas veljavna zakonodaja ali ustrezne pogodbene obveznosti zahtevajo za shranjevanje nekaterih ali vseh podatkov strank.

6.7. Razumna pomoč

Strinjamo se, da bomo stranki nudili razumno pomoč v prizadevnosti:

(a) vsako zahtevo subjekta podatkov glede dostopa ali popravka, izbrisa, omejevanja, prenosljivosti, blokiranja ali brisanja podatkov strank, ki jih obdelujemo v imenu stranke. Če subjekt pošlje takšno zahtevo neposredno nam, se uporablja člen 7 tega DPA;

(b) preiskavo varnostnih incidentov in obveščanje o potrebnih obvestilih o takšnih varnostnih incidentih, ob upoštevanju člena 6.5 tega DPA;

(c) priprava ocen vpliva na varstvo podatkov (‘DPIA‘) in, po potrebi, posvetovanje naročnika z nadzornim organom po členih 35 in 36 GDPR.

6.8 Revizija in certificiranje

6.8.1 Revizija nadzornih organov

Če nadzorni organ zahteva revizijo naših zmogljivosti za obdelavo podatkov, ki jih uporabljamo za obdelavo podatkov strank, da ugotovimo ali spremljamo skladnost stranke z zakoni o varstvu podatkov, pri čemer bomo sodelovali pri reviziji. Naročnik je odgovoren za vse stroške in pristojbine, povezane s takšno revizijo, vključno z vsemi razumnimi stroški in pristojbinami za ves čas, ki ga porabimo za tak pregled, poleg stroškov za storitve, ki jih opravimo.

6.8.2 Revizije

Naročnik lahko pred začetkom obdelave in v rednih intervalih nato revidira tehnične in organizacijske ukrepe, ki smo jih sprejeli. Če je naročnik kontrolor glede osebnih podatkov, ki jih obdelujemo v njegovem imenu, na podlagi razumnega in pravočasnega predhodnega dogovora, med rednim delovnim časom in brez prekinitve poslovanja, lahko stranki zagotovimo vse potrebne informacije za dokazovanje skladnosti z obveznostmi, določenimi v členu 28 GDPR, ter omogočimo in prispevamo k revizijam,  vključno z inšpekcijami, ki jih opravi naročnik ali drug revizor, ki ga naročnik zahteva v zvezi s takšno obdelavo.

Na pisno zahtevo stranke in v razumnem roku bomo stranki posredovali vse informacije, potrebne za tak pregled, v obsegu, v katerem so te informacije pod našim nadzorom in nas veljavna zakonodaja, dolžnost zaupnosti ali katerakoli druga obveznost do tretje osebe ne onemogočajo razkriti.

7. Zahtevki za subjekte podatkov

V primeru, da nas oseba s podatki kontaktira v zvezi z uresničevanjem svojih pravic po zakonih o varstvu podatkov (zlasti ob zahtevah za dostop, popravek ali izbris podatkov strank), bomo uporabili vse razumne ukrepe, da vam takšne zahteve posredujemo. Če smo zakonsko dolžni odgovoriti na takšno zahtevo, vas bomo takoj obvestili in vam posredovali kopijo zahteve, razen če nam je to zakonsko prepovedano.

8. Podprocesorji

BAS-IP ima splošno pisno pooblastilo odjemalca za sodelovanje podprocesorjev iz dogovorjenega seznama. BAS-IP se zavezuje, da bo odjemalca obvestil o vseh načrtovanih spremembah na tem seznamu glede dodajanja ali zamenjave podprocesorjev vsaj 10 dni pred začetkom delovanja podprocesorja, s čimer odjemalcu daje priložnost, da se pritoži nad takšnimi spremembami. BAS-IP mora odjemalcu zagotoviti informacije, potrebne za uveljavljanje pravice do ugovora.

Če velja člen 9 tega DPA, bo postopek za angažiranje podprocesorjev urejen z ustreznimi določbami 9. člena tega DPA. V takem primeru prevladajo določbe 9. člena.

Dogovorjeni seznam podprocesorjev je določen v Prilogi 3 tega DPA.

9. Prenosi podatkov strank

9.1. Splošno

Priznavate in se strinjate, da uporaba storitev BAS-IP lahko vključuje prenos podatkov strank v druge jurisdikcije, v skladu z veljavno zakonodajo o varstvu podatkov.

Kadar takšni prenosi zahtevajo ustrezne varovalke, se uporabljajo ustrezni mehanizmi za prenos podatkov, kot so EU SCC in britanski dodatek. Ti mehanizmi za prenos podatkov so vključeni in sestavni del tega DPA, kot je podrobneje opisano v poglavju 9.2. in 9,3.

V primeru kakršnegakoli konflikta med določbami tega DPA in veljavnimi mehanizmi za prenos podatkov veljajo določbe ustreznega mehanizma za prenos podatkov le v obsegu takšnega konflikta.

9.2. Prenosi po GDPR

Ko obdelava podatkov strank v vašem imenu v povezavi s storitvami predstavlja “prenos” po GDPR, veljajo standardne pogodbene klavzule.

Ko ste vi kontrolor in smo mi procesorji, velja modul dva iz EU SCC, in ko ste vi procesor, mi pa podprocesor, se uporablja modul tri EU SCC.

Za namen EU SCC-jev je BAS-IP “uvoznik podatkov”, vi pa ste “izvoznik podatkov”.

Ustrezne določbe, vsebovane v SCC EU, so vključene z referenco in so sestavni del tega DPA. Klavzule in priloge SCC EU se štejejo za izpolnjene na naslednji način:

(i) v 7. členu se ne uporablja neobvezna klavzula o odvzemu;

(ii) v 9. členu, možnost 2 (splošno pisno pooblastilo) se uporablja. Za namen člena 9(a) je rok za obveščanje izvoznika podatkov 10 dni;

(iii) v 11. členu ne velja dodatna določba;

(iv) v 13. členu velja določena možnost glede na specifičen primer;

(v) v 17. členu velja možnost 1. Vrhovna sodišča EU bodo urejena z zakonodajo Zvezne republike Nemčije;

(vi) v 18. členu (b) spore rešujejo sodišča Zvezne republike Nemčije;

(vii) Priloga I Vrhovnih sodišč EU se šteje za izpolnjeno z informacijami, navedenimi v Prilogi 1 tega DPA;

(viii) Priloga II Vrhovnih svetov EU se šteje za izpolnjeno z informacijami, navedenimi v Prilogi 2 tega DPA.

9.3. Prenosi v okviru britanskega okvira za varstvo podatkov

Ko obdelava podatkov strank v vašem imenu v povezavi s storitvami predstavlja “omejen prenos” po britanski zakonodaji o varstvu podatkov, se uporablja britanski dodatek.

Ko ste kontrolor in je BAS-IP procesor, velja modul dva SCC-jev EU, in ko ste procesor, mi pa podprocesor, se uporablja modul tri SCC-jev EU, kot je določeno v pododstavku 9.2. tega DPA.

Za namen britanskega dodatka je BAS-IP “uvoznik”, vi pa ste “izvoznik”.

Ustrezne določbe, vsebovane v britanskem dodatku, so vključene z referenco in so sestavni del tega DPA. Tabele v britanskem dodatku veljajo za izpolnjene na naslednji način:

(i) Tabela 1 v delu 1 se šteje za izpolnjeno z informacijami, navedenimi v prilogi 1 tega DPA, uradna registracijska številka uvoznika je 328138502, uradna registracijska številka izvoznika pa je vključena v račun naročnika, če obstaja;

(ii) Tabela 2 v delu 1 se šteje za izpolnjeno z informacijami, navedenimi v pododstavku 9.2. tega DPA;

(iii) Tabela 3 v delu 1 se šteje za izpolnjeno z informacijami, navedenimi v prilogah 1, 2 in 3 tega DPA;

(iv) v tabeli 4 v 1. delu nobena stranka ne sme zaključiti tega dodatka, kot je določeno v 19. členu britanskega dodatka.

PRILOGA 1 – OPIS OBDELAVE

SEZNAM STRANK

Odjemalec (izvoznik podatkov)

Ime: Ti, ‘Naročnik’

Naslov: relevantne informacije so vsebovane v računu naročnika.

Ime, delovno mesto in kontaktni podatki kontaktne osebe: relevantne informacije so vsebovane v računu stranke.

Dejavnosti, povezane s podatki, prenesenimi po teh členih: zagotavljanje storitev.

Podpis in datum: Stranke se strinjajo, da podpis Sporazuma s strani izvoznika podatkov pomeni izvršitev tega DPA tako s strani uvoznika kot izvoznika podatkov. Datum registracije računa na platformi se šteje kot datum podpisa te DPA.

Vloga: krmilnik ali procesor

BAS-IP DISTRIBUTION LTD (Uvoznik podatkov)

Ime: BAS-IP DISTRIBUTION LTD

Naslov: Crown House 27 Old Gloucester Street, London, Anglija

Ime, položaj in kontaktni podatki kontaktne osebe: [prosim, vstavite ime, položaj in kontaktne podatke, npr. e-pošto]

Dejavnosti, povezane s podatki, prenesenimi po teh členih: zagotavljanje storitev.

Podpis in datum: Stranke se strinjajo, da podpis Sporazuma s strani izvoznika podatkov pomeni izvršitev tega DPA tako s strani uvoznika kot izvoznika podatkov. Datum registracije računa na platformi se šteje kot datum podpisa te DPA.

Vloga: procesor ali podprocesor

OPIS PRENOSA

1. Kategorije subjektov, katerih osebni podatki se prenašajo:

  • stranke strank;
  • druge osebe, katerih osebni podatki se prenašajo med storitvami, ki jih podjetje nudi naročniku.

2. Kategorije prenesenih osebnih podatkov:

  • osebni podatki, povezani s strankami strank;
  • druge osebne podatke, ki jih je mogoče prenesti med storitvami, ki jih podjetje nudi stranki.
  • Občutljivi podatki, preneseni (če so relevantni) in uporabljeni omejitvi ali varovalki, ki v celoti upoštevajo naravo podatkov in vključena tveganja:

Uvoznik podatkov lahko pridobi dostop do občutljivih podatkov le, če ti občutljivi podatki posreduje naročnik, in izključno v obsegu, ki je potreben za izvajanje storitev. V takih primerih uvoznik podatkov izvaja tehnične in organizacijske ukrepe, določene v Prilogi 2, skupaj z vsemi drugimi ustreznimi in nujnimi varovalkami ali omejitvami, ob upoštevanju narave občutljivih podatkov in tveganj, povezanih z njihovo obdelavo, v skladu z veljavno zakonodajo in predpisi.

  • Pogostost prenosa:

Osebni podatki se prenašajo neprekinjeno.

  • Narava obdelave:

Osebna obdelava podatkov obsega naslednje: zbiranje, beleženje, organizacijo, strukturiranje, shranjevanje, prilagajanje ali spremembo, pridobivanje, posvetovanje, usklajevanje ali kombiniranje, omejevanje, brisanje ali uničenje.

  • Namen prenosa podatkov in nadaljnje obdelave:

Namen obdelave podatkov po teh členih je izvajanje storitev za izvoznika podatkov s strani uvoznika podatkov v skladu s sporazumom, sklenjenim med uvoznikom podatkov in izvoznikom podatkov.

  • Obdobje, za katerega bodo osebni podatki shranjeni, ali, če to ni mogoče, kriteriji, ki se uporabljajo za določanje tega obdobja:

Osebni podatki se shranjujejo za čas trajanja tega DPA, sklenjenega med uvoznikom podatkov in izvoznikom podatkov, razen če ni pisno dogovorjeno drugače ali če uvoznik podatkov po veljavni zakonodaji zahteva shranjevanje nekaterih ali vseh prenesenih osebnih podatkov.

  • Za prenose k (pod)procesorjem določite tudi vsebino, naravo in trajanje obdelave:

Vsebina: Izvajanje storitev

Narava: zbiranje, beleženje, organizacija, strukturiranje, shranjevanje, prilagajanje ali sprememba, pridobivanje, posvetovanje, ponastavitev ali kombiniranje, omejevanje, brisanje ali uničenje.

Trajanje: Uspešnost storitev za uvoznika podatkov s strani (pod)procesorja v skladu s pogodbo o storitvah, sklenjeno med uvoznikom podatkov in (pod)procesorjem.

PRISTOJNI NADZORNI ORGAN

V skladu s klavzulo 13 se pristojni nadzorni organ po teh klavzulah določi glede na to, katera različica klavzule 13(a) velja za izvoznika podatkov.

PRILOGA 2 – TEHNIČNI IN ORGANIZACIJSKI UKREPI

TEHNIČNI IN ORGANIZACIJSKI UKREPI, VKLJUČNO S TEHNIČNIMI IN ORGANIZACIJSKIMI UKREPI ZA ZAGOTAVLJANJE VARNOSTI PODATKOV

Opis tehničnih in organizacijskih ukrepov, ki jih uvozniki podatkov izvajajo za zagotavljanje ustrezne ravni varnosti, ob upoštevanju narave, obsega, konteksta in namena obdelave ter tveganj za pravice in svoboščine fizičnih oseb:

  • Data Importer je zavezan ohranjanju zaupnosti, integritete, razpoložljivosti in odpornosti vseh zadevnih osebnih podatkov skozi celotno obdelavo podatkov ter zagotavljanju zaščite osebnih podatkov pred izgubo in uničenjem z izvajanjem ustreznih notranjih politik, postopkov in drugih ustreznih ukrepov.
  • Data Importer omogoča dostop do osebnih podatkov izključno na podlagi potrebe po informacijah, ti podatki pa so dostopni le pooblaščenemu osebju.
  • Data Importer je uvedel nadzor dostopa na podlagi vlog in sezname za nadzor dostopa, da zagotovi strogo ločitev uporabniških pravic dostopa.
  • Postopki informacijske varnosti podjetja Data Importer so predmet rednih pregledov.
  • Data Importer uporablja zanesljive ponudnike storitev in spremlja, katere tehnične in organizacijske ukrepe imajo za zagotovitev zaščite osebnih podatkov ves čas.
  • Data Importer je uvedel ukrepe, namenjene zaščiti zaupnosti in integritete osebnih podatkov med prenosom podatkov.
  • Data Importer je uvedel tehnične in organizacijske ukrepe, namenjene zajezitvi varnostnih incidentov ter preprečevanju nadaljnje izgube in poškodb podatkov.

PRILOGA 3 – PODPROCESORJI

Krmilnik je pooblastil uporabo naslednjih podprocesorjev:

Podprocesor 1

Ime: Hetzner Online GmbH / Hetzner Finland Oy

Naslov: Industriestr. 25, 91710 Gunzenhausen, Nemčija / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finska

Ime, položaj in kontaktni podatki kontaktne osebe: [email protected] 

Opis obdelave: gostovanje podatkov na strežnikih Hetzner Online GmbH / Hetzner Finland Oy

Podprocesor 2

Ime: DigitalOcean, LLC

Naslov: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Združene države Amerike

Ime, položaj in kontaktni podatki kontaktne osebe: [email protected] 

Opis obdelave: gostovanje podatkov na strežnikih podjetja DigitalOcean, LLC