Pogodba o obdelavi osebnih podatkov
Ta pogodba o obdelavi osebnih podatkov (v nadaljevanju: DPA) ureja obdelavo osebnih podatkov, ki jo JLabs, digitalne rešitve, Nika Vrečič s.p. izvaja v imenu uporabnika storitve Gostly v skladu s 28. členom Splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679, v nadaljevanju: GDPR) in veljavno zakonodajo o varstvu osebnih podatkov.
DPA je sestavni del Pogojev uporabe in se uporablja vselej, kadar uporabnik prek storitve Gostly obdeluje osebne podatke, za katere nastopa kot upravljavec. Z registracijo oziroma uporabo storitve uporabnik sprejme to DPA. V primeru neskladja med to DPA in Pogoji uporabe glede obdelave osebnih podatkov prevlada ta DPA.
1. Vloge strank in predmet
Glede osebnih podatkov gostov in drugih posameznikov, ki jih uporabnik vnese ali obdeluje prek storitve Gostly, uporabnik nastopa kot upravljavec, JLabs, digitalne rešitve, Nika Vrečič s.p. pa kot obdelovalec.
Predmet, narava, namen in trajanje obdelave, vrste osebnih podatkov in kategorije posameznikov so opisani v Prilogi A. Obdelovalec osebne podatke obdeluje izključno za izvajanje storitve Gostly in v obsegu, ki je za to potreben.
2. Obdelava po navodilih upravljavca
Obdelovalec osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, kamor sodijo tudi ta DPA, Pogoji uporabe in nastavitve, ki jih upravljavec določi v uporabniškem računu. Obdelovalec podatkov ne obdeluje za lastne namene.
Če obdelovalca k obdelavi zavezuje pravo EU ali pravo države članice, o tej pravni zahtevi pred obdelavo obvesti upravljavca, razen če to pravo iz razlogov javnega interesa tako obvestilo prepoveduje. Če obdelovalec meni, da kakšno navodilo krši predpise o varstvu podatkov, o tem nemudoma obvesti upravljavca.
3. Zaupnost
Obdelovalec zagotavlja, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezna zakonska obveznost, ter da do osebnih podatkov dostopajo le osebe, ki jih potrebujejo za izvajanje storitve.
4. Varnost obdelave
Obdelovalec ob upoštevanju stanja tehnike, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave izvaja ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustreza tveganju, v skladu s 32. členom GDPR. Pregled teh ukrepov je v Prilogi C.
5. Pod-obdelovalci
Upravljavec obdelovalcu daje splošno pisno dovoljenje za vključitev pod-obdelovalcev. Seznam pod-obdelovalcev, ki jih obdelovalec uporablja ob sklenitvi te DPA, je v Prilogi B.
Obdelovalec s posameznim pod-obdelovalcem sklene pogodbo, ki temu nalaga vsaj enake obveznosti varstva podatkov, kot veljajo po tej DPA. Obdelovalec ostane upravljavcu v celoti odgovoren za izpolnjevanje obveznosti pod-obdelovalca.
O nameravani zamenjavi ali vključitvi novega pod-obdelovalca obdelovalec upravljavca obvesti vnaprej (na primer po elektronski pošti ali prek obvestila v storitvi) in mu omogoči razumen rok za ugovor. Če upravljavec utemeljeno ugovarja, si stranki prizadevata najti razumno rešitev; če to ni mogoče, lahko upravljavec odpove zadevni del storitve.
6. Prenosi izven EGP
Obdelovalec osebnih podatkov ne prenaša izven Evropskega gospodarskega prostora brez veljavne pravne podlage. Kadar do takega prenosa pride (na primer prek pod-obdelovalca), obdelovalec zagotovi ustrezne zaščitne ukrepe iz poglavja V GDPR, na primer sklep o ustreznosti, standardne pogodbene klavzule ali drug zakonit mehanizem.
7. Pomoč upravljavcu
Obdelovalec upravljavcu ob upoštevanju narave obdelave in razpoložljivih informacij pomaga z ustreznimi tehničnimi in organizacijskimi ukrepi pri:
- izpolnjevanju zahtev posameznikov za uveljavljanje njihovih pravic iz GDPR (dostop, popravek, izbris, omejitev, prenosljivost, ugovor),
- izpolnjevanju obveznosti glede varnosti obdelave, obveščanja o kršitvah ter ocen učinka v zvezi z varstvom podatkov in predhodnih posvetovanj (32.–36. člen GDPR).
Če zahtevo posameznika prejme neposredno obdelovalec, jo brez nepotrebnega odlašanja posreduje upravljavcu in nanjo ne odgovarja sam, razen po navodilu upravljavca.
8. Kršitve varstva osebnih podatkov
Obdelovalec upravljavca brez nepotrebnega odlašanja, najpozneje pa v 48 urah po tem, ko za kršitev varstva osebnih podatkov izve, o njej obvesti in mu posreduje informacije, ki so razumno potrebne za izpolnitev njegovih obveznosti obveščanja po 33. in 34. členu GDPR.
9. Izbris in vračilo podatkov
Po prenehanju izvajanja storitve obdelovalec po izbiri upravljavca izbriše ali vrne vse osebne podatke in izbriše obstoječe kopije, razen če pravo EU ali pravo države članice zahteva hrambo osebnih podatkov. Obdelovalec lahko določi razumen rok za izvedbo izbrisa in za rutinsko brisanje varnostnih kopij v skladu s svojimi cikli hrambe.
10. Dokazovanje skladnosti in revizije
Obdelovalec upravljavcu da na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena GDPR, ter omogoči in prispeva k revizijam, vključno s pregledi, ki jih izvede upravljavec ali revizor, ki ga ta pooblasti. Revizije se izvajajo v razumnem obsegu, ob predhodnem obvestilu, v rednem delovnem času in tako, da ne motijo poslovanja obdelovalca; obdelovalec lahko zahteve izpolni tudi s predložitvijo ustreznih potrdil ali poročil o skladnosti.
11. Odgovornost
Odgovornost strank po tej DPA se presoja po določbah GDPR in po omejitvah odgovornosti, dogovorjenih v Pogojih uporabe, kolikor tega ne prepoveduje prisilni predpis.
12. Veljavnost in spremembe
Ta DPA velja, dokler obdelovalec za upravljavca obdeluje osebne podatke oziroma dokler traja pogodbeno razmerje med strankama. Obdelovalec lahko DPA posodobi zaradi sprememb storitve, pod-obdelovalcev ali zakonodaje; bistvene spremembe sporoči vnaprej na primeren način.
Priloga A — Opis obdelave
| Predmet obdelave | obdelava osebnih podatkov za izvajanje storitve Gostly (komunikacija z gosti, informacije in pomoč med bivanjem, obvestila gostom, prijava težav, samodejni prevod sporočil). |
|---|---|
| Narava in namen | shranjevanje, prikaz, posredovanje in tehnična obdelava vsebin, ki jih upravljavec vnese ali ustvari v storitvi, ter omogočanje komunikacije med gostiteljem in gostom. |
| Trajanje | za čas trajanja pogodbenega razmerja in v skladu z nastavitvami hrambe ter navodili upravljavca. |
| Kategorije posameznikov | gostje ponudnika nastanitve ter uporabniki, ki dostopajo do računa upravljavca. |
| Vrste osebnih podatkov | ime in priimek, kontaktni podatki, vsebina komunikacije, informacije o bivanju, prijave težav in priložene fotografije (z odstranjenimi metapodatki), ter drugi podatki, ki jih upravljavec vnese v storitev. |
| Posebne vrste podatkov | storitev ni namenjena obdelavi posebnih vrst osebnih podatkov; upravljavec se zavezuje, da jih v storitev ne vnaša, razen če je to izrecno dogovorjeno in zakonito. |
Priloga B — Pod-obdelovalci
| Hetzner | gostovanje infrastrukture in baze podatkov; lokacija obdelave: EU. |
|---|---|
| DeepL | strojni prevod vsebine sporočil med gostom in gostiteljem; lokacija obdelave: EU. |
| Neoserv | pošiljanje sistemskih in obvestilnih e-sporočil; lokacija obdelave: EU. |
Posodobljen seznam pod-obdelovalcev je uporabniku na voljo na zahtevo oziroma prek uporabniškega računa.
Priloga C — Tehnično-organizacijski ukrepi
- šifriranje prenosa podatkov (TLS) med odjemalci, storitvijo in pod-obdelovalci,
- shranjevanje gesel v zgoščeni (hash) obliki,
- logična ločitev podatkov med najemniki (multi-tenant izolacija) in nadzor dostopa po načelu najmanjših pravic,
- avtentikacija prek namenskega sistema za upravljanje identitet in dostopov,
- samodejna odstranitev metapodatkov (npr. lokacije) iz naloženih fotografij,
- redno varnostno kopiranje in možnost obnovitve podatkov,
- vodenje varnostnih in diagnostičnih zapisov (revizijske sledi),
- nadzor in posodabljanje sistemske ter aplikacijske varnosti.
Kontakt
Za vprašanja v zvezi s to pogodbo o obdelavi osebnih podatkov nam piši na hello@gostly.si.