POGODBA O OBDELAVI PODATKOV
DPA
Standardni DPA · Različica 1.0 · EvaluationsHub avtor Vockam SAS
Kliknite tukaj, da podpišete svoj copy
| STRANKE TEGA SPORAZUMA | |
| krmilnik | [Ime stranke], ustanovljena v [Jurisdikcija], s sedežem na naslovu [Naslov] (v nadaljevanju »Upravljavec«) |
| Procesor | Vockam SAS, francoska Société par Actions Simplifiée (SAS), registrska št. 899272736 RCS Meaux, 1 Boulevard du huit mai 1945, 77260 La Ferté-sous-Jouarre, Francija, obratovanje EvaluationsHub (»obdelovalec«) |
| Datum začetka veljavnosti | [DATUM] |
| Veljavno pravo | Francoska zakonodaja in GDPR EU |
| Sodna pristojnost | Sodišča v Parizu, Francija |
Ta pogodba o obdelavi podatkov (»DPA«) je standardna pogodba o obdelavi podatkov, ki jo je izdalo podjetje Vockam SAS (operativni EvaluationsHub) svojim strankam. Je del glavne pogodbe o storitvah ali pogojev storitve (»glavna pogodba«) med zgoraj navedenima strankama in določa pogoje, pod katerimi bo obdelovalec obdeloval osebne podatke v imenu upravljavca v povezavi z EvaluationsHub storitev. S podpisom spodaj upravljavec sprejema pogoje te DPA.
- Opredelitve
V tem sporazumu o obdelavi podatkov imajo naslednji izrazi naslednji pomen:
| Zakoni o varstvu podatkov | Vsa veljavna zakonodaja v zvezi z varstvom podatkov in zasebnostjo, vključno s Splošno uredbo EU o varstvu podatkov 2016/679 (»GDPR«), francoskim zakonom o varstvu podatkov (Loi Informatique et Libertés) in vso veljavno nacionalno izvedbeno zakonodajo, kakor je bila občasno spremenjena ali nadomeščena. |
| Osebni podatki | Ima pomen, kot je naveden v členu 4(1) GDPR: kateri koli podatki, ki se nanašajo na določeno ali določljivo fizično osebo. |
| Obravnavano | Ima pomen, kot je naveden v členu 4(2) GDPR: vsaka operacija, izvedena v zvezi z osebnimi podatki. |
| Predmet podatkov | Identificirana ali določljiva fizična oseba, na katero se nanašajo osebni podatki. |
| Kršitev varstva osebnih podatkov | Ima pomen, kot je naveden v členu 4(12) GDPR: kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje osebnih podatkov ali dostop do njih. |
| Podobdelovalec | Vsaka tretja oseba, ki jo obdelovalec najame za obdelavo osebnih podatkov v imenu upravljavca. |
| Standardne pogodbene klavzule (SCC) | Izvedbeni sklep Evropske komisije (EU) 2021/914 z dne 4. junija 2021 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države, kakor je bil občasno posodobljen. |
| EEA | Evropski gospodarski prostor. |
| TOM-i | Tehnični in organizacijski ukrepi, kot so opisani v Prilogi 2. |
- Obseg in trajanje
2.1 Predmet zadeve. Obdelovalec zagotavlja platformo za upravljanje odnosov z dobavitelji (SRM) in ocenjevanje uporabniške izkušnje („EvaluationsHub„). Obdelovalec bo osebne podatke obdeloval izključno v obsegu, ki je potreben za zagotavljanje teh storitev v skladu z glavno pogodbo.
2.2 Trajanje. Ta DPA ostane v veljavi, dokler obdelovalec obdeluje osebne podatke v skladu z glavnim sporazumom. Samodejno preneha veljati ob prekinitvi ali izteku glavnega sporazuma, pod pogojem, da obveznosti iz 8. člena (Brisanje ali vračilo podatkov) še vedno veljajo.
- Obdelava samo na podlagi navodil
3.1 Dokumentirana navodila. Obdelovalec bo obdeloval osebne podatke le na podlagi dokumentiranih navodil upravljavca, kot je določeno v tej DPA ali glavnem sporazumu, razen če to zahteva pravo Unije ali pravo države članice. V takem primeru mora obdelovalec upravljavca o tej zakonski zahtevi obvestiti pred obdelavo, razen če to prepoveduje zakon zaradi javnega interesa.
3.2 Obveščanje o navzkrižjih interesov. Če obdelovalec meni, da bi katero koli navodilo upravljavca kršilo zakone o varstvu podatkov, mora o tem nemudoma obvestiti upravljavca in lahko začasno ustavi ustrezno obdelavo, dokler se težava ne reši.
3.3 Zaupnost osebja. Obdelovalec mora zagotoviti, da so se vse osebe, pooblaščene za obdelavo osebnih podatkov, zavezale k pogodbenim ali zakonskim obveznostim glede zaupnosti.
- Varnost
4.1 Ustrezni ukrepi. Obdelovalec mora izvajati in vzdrževati tehnične in organizacijske ukrepe iz Priloge 2 (TOMs). Ti ukrepi morajo zagotavljati raven varnosti, ki ustreza tveganju, ob upoštevanju narave, obsega, konteksta in namenov obdelave ter tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.
4.2 Posodobitve pogojev uporabe (TOM). Obdelovalec lahko občasno posodobi ali spremeni pogoje uporabe, pod pogojem, da takšna posodobitev bistveno ne zmanjša splošne ravni zagotovljene varnosti. Obdelovalec mora upravljavca obvestiti o vsakem bistvenem zmanjšanju varnostnih ukrepov vsaj 30 dni vnaprej.
4.3 Usposabljanje osebja. Obdelovalec mora zagotoviti, da vsi zaposleni z dostopom do osebnih podatkov prejmejo ustrezno in redno usposabljanje o obveznostih varstva podatkov in varnostnih praksah.
- Podprocesiranje
5.1 Splošno pooblastilo. Upravljavec podeljuje obdelovalcu splošno pisno pooblastilo za sodelovanje s podobdelovalci, navedenimi v Prilogi 3, pod pogoji iz te klavzule 5.
5.2 Obveznosti podobdelovalca. Preden obdelovalec najame katerega koli podobdelovalca, mu mora naložiti obveznosti varstva podatkov, ki so enakovredne tistim v tem sporazumu o obdelavi podatkov, zlasti pa mora zagotoviti zadostna jamstva za izvajanje ustreznih pogojev delovanja (TOM). Obdelovalec ostaja v celoti odgovoren upravljavcu za dejanja in opustitve svojih podobdelovalcev.
5.3 Spremembe podobdelovalcev. Obdelovalec mora upravljavca vsaj 30 dni vnaprej pisno obvestiti o vseh nameravanih spremembah seznama podobdelovalcev (dodatki ali zamenjave). Upravljavec lahko takim spremembam ugovarja iz utemeljenih razlogov v 15 dneh od prejema obvestila. Če upravljavec ugovarja in obdelovalec ugovoru ne more ugoditi, lahko upravljavec s pisnim obvestilom brez kazni prekine ustrezne storitve.
5.4 Podobdelovalci zunaj EGP. Kadar se podobdelovalec nahaja zunaj EGP v državi, ki je Evropska komisija ne priznava kot državo, ki zagotavlja ustrezno raven varstva podatkov, mora obdelovalec zagotoviti, da je vzpostavljen ustrezen mehanizem prenosa (npr. standardne pogodbene klavzule), preden se kakršni koli osebni podatki prenesejo temu podobdelovalcu. Potrjeni mehanizmi prenosa za trenutne podobdelovalce zunaj EGP so podrobno opisani v Prilogi 3.
- Mednarodni prenos podatkov
6.1 Primarno shranjevanje. Osebni podatki se shranjujejo in obdelujejo predvsem v EGP z uporabo infrastrukture AWS v EU (regiji Irska in Frankfurt).
6.2 Prenosi zunaj EGP. Kadar se osebni podatki prenesejo v državo zunaj EGP, za katero ne velja sklep o ustreznosti, mora obdelovalec zagotoviti, da je pred prenosom vzpostavljen eden od naslednjih zaščitnih ukrepov: (a) z ustreznim podobdelovalcem so bile podpisane standardne pogodbene klavzule EU (2021/914); ali (b) se uporablja drug zakonit mehanizem prenosa, priznan v skladu s členom 46 GDPR. Podrobnosti o veljavnih zaščitnih ukrepih za vsakega podobdelovalca so navedene v Prilogi 3.
6.3 Obvestilo. Obdelovalec mora nemudoma obvestiti upravljavca, če kateri koli zaščitni ukrep iz klavzule 6.2 preneha veljati ali se bistveno spremeni.
- Pomoč pri pravicah posameznika, na katerega se nanašajo osebni podatki
7.1 Zahteve posameznikov, na katere se nanašajo osebni podatki. Obdelovalec ob upoštevanju narave obdelave pomaga upravljavcu z izvajanjem ustreznih tehničnih in organizacijskih ukrepov pri izpolnjevanju njegove obveznosti odzivanja na zahteve posameznikov, na katere se nanašajo osebni podatki, ki uveljavljajo svoje pravice v skladu s poglavjem III GDPR (vključno s pravico do dostopa, popravka, izbrisa, omejitve, prenosljivosti in ugovora).
7.2 Posredovanje zahtev. Če obdelovalec prejme zahtevo neposredno od posameznika, na katerega se nanašajo osebni podatki, jo mora v 5 delovnih dneh posredovati upravljavcu in na zahtevo ne sme sam odgovoriti brez predhodnega pisnega dovoljenja upravljavca, razen če to zahteva zakon.
7.3 Nadaljnja pomoč. Obdelovalec bo upravljavcu pomagal tudi pri zagotavljanju skladnosti z njegovimi obveznostmi glede: (a) varnosti obdelave (člen 32 GDPR); (b) obveščanja nadzornih organov in posameznikov, na katere se nanašajo osebni podatki, o kršitvah varstva osebnih podatkov (člena 33–34 GDPR); in (c) ocen učinka na varstvo podatkov in predhodnega posvetovanja (člena 35–36 GDPR).
- Obvestilo o kršitvi varnosti osebnih podatkov
8.1 Obvestilo upravljavcu. Obdelovalec mora upravljavca o tem obvestiti brez nepotrebnega odlašanja, v vsakem primeru pa brez nepotrebnega odlašanja in v vsakem primeru v 72 urah po tem, ko izve za kršitev varnosti osebnih podatkov, ki vpliva na osebne podatke, obdelane v skladu s tem sporazumom o obdelavi podatkov.
8.2 Vsebina obvestila. Takšno obvestilo mora v obsegu, ki je takrat znan, vključevati: (a) opis narave kršitve, vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, in zapisov osebnih podatkov; (b) ime in kontaktne podatke kontaktne osebe za varstvo podatkov obdelovalca (team@evaluationshub.com); (c) opis verjetnih posledic kršitve; in (d) opis ukrepov, sprejetih ali predlaganih za odpravo kršitve, vključno z ukrepi za ublažitev.
8.3 Nadaljnje informacije. Če v času prvotnega obvestila niso na voljo vse informacije, mora obdelovalec posredovati nadaljnje informacije postopoma, ko bodo na voljo, brez nepotrebnega odlašanja.
8.4 Vodenje evidenc. Obdelovalec mora dokumentirati vse kršitve varstva osebnih podatkov, vključno z dejstvi, posledicami in sprejetimi popravnimi ukrepi, ter te evidence na zahtevo dati na voljo upravljavcu.
- Ohranjanje podatkov
9.1 Obdobja hrambe. Obdelovalec ne sme hraniti osebnih podatkov dlje, kot je potrebno za namene, določene v Prilogi 1. Razen če ni pisno dogovorjeno drugače, veljajo naslednja najdaljša obdobja hrambe:
| Kategorija podatkov | Obdobje hrambe |
| Podatki o aktivnem uporabniškem računu | Trajanje glavne pogodbe |
| Ocene in ocenjevanja uspešnosti | 3 leta od nastanka, razen če se izbris zahteva prej |
| Prijavne poverilnice (dnevniki dostopa) | 12 mesecev od nastanka |
| Varnostne kopije | 90 dni od odpovedi glavne pogodbe |
| Revizijski dnevniki | 3 leta od nastanka (zakonska obveznost) |
- Izbris ali vračilo podatkov
10.1 Ob prenehanju. Ob prenehanju ali izteku glavne pogodbe mora obdelovalec po izbiri upravljavca in v 30 dneh od prejema pisne zahteve: (a) varno vrniti vse osebne podatke upravljavcu v splošno uporabljeni strojno berljivi obliki; ali (b) varno izbrisati in uničiti vse osebne podatke (in vse njihove kopije), razen če zakonodaja Unije ali države članice zahteva nadaljnje shranjevanje.
10.2 Potrditev. Obdelovalec mora upravljavcu v 30 dneh po zaključku dejanja posredovati pisno potrditev izbrisa ali vrnitve.
10.3 Preostale kopije. Obdelovalec si bo komercialno razumno prizadeval zagotoviti, da tudi podobdelovalci izbrišejo ali vrnejo osebne podatke v skladu s to klavzulo 10.
- Pravice do revizije
11.1 Informacije. Obdelovalec mora upravljavcu dati na voljo vse informacije, ki so razumno potrebne za dokazovanje skladnosti z obveznostmi iz te DPA in 28. člena GDPR.
11.2 Revizije. Obdelovalec mora omogočiti in prispevati k revizijam, vključno z inšpekcijskimi pregledi, ki jih izvaja upravljavec ali revizor, ki ga pooblasti upravljavec, pod pogojem, da: (a) upravljavec poda vsaj 30-dnevno predhodno pisno obvestilo; (b) se revizije izvajajo največ enkrat na koledarsko leto (razen v primeru domnevne kršitve varnosti osebnih podatkov); (c) se revizija izvaja med običajnim delovnim časom in na način, ki čim bolj zmanjša motnje; in (d) stroške revizije krije upravljavec, razen če revizija razkrije bistveno neskladnost, v tem primeru stroške krije obdelovalec.
11.3 Certifikati. Na zahtevo upravljavca mora obdelovalec namesto ali poleg revizije na kraju samem, kjer je to primerno, predložiti kopije ustreznih certifikatov tretjih oseb (npr. ISO 27001, ko so pridobljeni) ali povzetke varnostnih ocen. Obdelovalec trenutno išče certifikat ISO 27001.
- Ocene vpliva na varstvo podatkov
12.1 Obdelovalec bo upravljavcu razumno pomagal pri izvajanju kakršne koli ocene učinka na varstvo podatkov (DPIA), ki se zahteva v skladu s členom 35 GDPR, tako da: (a) zagotovi ustrezne informacije o postopkih obdelave, tveganjih in vzpostavljenih pogojih obdelave; (b) se udeleži posvetovalnih sestankov na podlagi razumnega predhodnega obvestila; in (c) se takoj odzove na pisna vprašanja v zvezi z dejavnostmi obdelave, opisanimi v Prilogi 1.
- Odgovornost
13.1 Zgornja meja odgovornosti. V največjem obsegu, ki ga dovoljuje veljavna zakonodaja, skupna skupna odgovornost obdelovalca do upravljavca v skladu s to DPA pogodbo ali v povezavi z njo (bodisi iz pogodbe, odškodninske odgovornosti, malomarnosti ali kako drugače) ne sme presegati skupnih provizij, ki jih je upravljavec plačal ali jih je dolžan plačati obdelovalcu v 12-mesečnem obdobju neposredno pred dogodkom, ki je povzročil zahtevek (»Zgornja meja odgovornosti«). Kadar glavni sporazum zajema obdobje, krajše od 12 mesecev v času zahtevka, je zgornja meja odgovornosti skupna provizija, plačana ali dolžna do danes v skladu z glavnim sporazumom.
13.2 Izključitve iz omejitve odgovornosti. Omejitev odgovornosti se ne uporablja za: (a) odgovornost katere koli pogodbenice za smrt ali telesno poškodbo, ki jo povzroči njena malomarnost; (b) odgovornost katere koli pogodbenice za goljufijo ali goljufivo zavajanje; ali (c) kakršno koli odgovornost, ki je ni mogoče izključiti ali omejiti z veljavno zakonodajo.
13.3 Medsebojna odgovornost. Kadar sta obe stranki odgovorni za škodo, povzročeno zaradi kršitve GDPR, je vsaka stranka odgovorna za svoj del škode v skladu s členom 82 GDPR. Zgornja meja odgovornosti v členu 13.1 velja za delež obdelovalca v taki odgovornosti.
13.4 Ublažitev. Vsaka stranka mora sprejeti razumne ukrepe za ublažitev kakršne koli izgube ali škode, ki jo utrpi zaradi kršitve tega sporazuma o obdelavi podatkov s strani druge stranke.
- Veljavno pravo in pristojnost
14.1 Ta DPA se ureja in razlaga v skladu s francosko zakonodajo in veljavno zakonodajo EU, vključno z GDPR.
14.2 Vsak spor, ki izhaja iz te DPA ali je z njo povezan, je predmet izključne pristojnosti sodišč v Parizu v Franciji, razen če veljavna zakonodaja ne določa drugače.
- Podpisi
S podpisom spodaj se pogodbenici strinjata s pogoji te pogodbe o obdelavi podatkov.
| Za in v imenu upravljavca (stranke) | Za in v imenu Vockam SAS (obdelovalec) |
| Polno ime: _________________________________ | Polno ime: Bert Paesbrugghe |
| Naziv: ______________________________________ | Naziv: Ustanovitelj in izvršni direktor, Vockam SAS |
| Podjetje: _________________________________ | Podjetje: Vockam SAS |
| Podpis: | Podpis: |
PRILOGA 1 – Opis dejavnosti obdelave
| Kategorije subjektov podatkov | • Zaposleni pri stranki in pooblaščeni uporabniki platforme • Predstavniki dobaviteljev in prodajalcev stranke |
| Vrste osebnih podatkov | • Imena in nazivi delovnih mest • Profesionalni e-poštni naslovi • Poslovni kontaktni podatki (telefon, naslov) • Imena dobaviteljev in strank • Podatki za oceno učinkovitosti delovanja • Poverilnice za prijavo v platformo (shranjene samo kot enosmerne zgoščene vrednosti; poverilnice v obliki navadnega besedila se nikoli ne shranijo) • Dnevniki vedenja in uporabe uporabnikov |
| Narava obdelave | Zbiranje, shranjevanje, pridobivanje, uporaba, razkritje (pooblaščenim uporabnikom) in brisanje osebnih podatkov. |
| Namen obdelave | Za lažje ocenjevanje dobaviteljev in strank, ocenjevanje tveganj in upravljanje platforme SRM v okviru EvaluationsHub storitev. |
| Pravna podlaga (podlaga upravljavca) | Upravljavec je odgovoren za opredelitev in dokumentiranje lastne pravne podlage za obdelavo v skladu s 6. členom GDPR (npr. 6. člen(1)(b) – izpolnitev pogodbe; ali 6. člen(1)(f) – legitimni interesi). EvaluationsHub obdeluje osebne podatke izključno po navodilih upravljavca in ne določa pravne podlage. |
PRILOGA 2 – Tehnični in organizacijski ukrepi (TOM)
| Ukrep | Izvajanje |
| Šifriranje v mirovanju | Šifriranje AES-256 za vse osebne podatke, shranjene v bazah podatkov AWS S3 in RDS. |
| Šifriranje med prenosom | TLS 1.2 ali novejši za vse prenose podatkov. TLS 1.0 in 1.1 sta onemogočena. |
| Access Control | Strog nadzor dostopa na podlagi vlog (RBAC). Dostop do osebnih podatkov je odobren le na podlagi potrebe po seznanitvi. |
| Preverjanje pristnosti | Dvofaktorska avtentikacija (2FA) je obvezna za vse osebne in administrativne račune z dostopom do osebnih podatkov. |
| Obdelava poverilnic | Uporabniška gesla so shranjena izključno kot enosmerno soljene zgoščene vrednosti (bcrypt ali enakovredno). Gesla v obliki navadnega besedila se nikoli ne shranjujejo ali beležijo. |
| Shranjevanje podatkov | Vsi osebni podatki so shranjeni v regijah AWS EU (Irska / Frankfurt). Nobeni osebni podatki se ne replicirajo zunaj EGP, razen če je vzpostavljen veljaven mehanizem prenosa (glejte Prilogo 3). |
| Varnostne kopije in odpornost | Avtomatizirane dnevne varnostne kopije, shranjene v conah razpoložljivosti AWS znotraj EU. RPO: 24 ur. RTO: 8 ur. |
| Revizijski dnevniki | Za vse dogodke dostopa do podatkov, spreminjanja in brisanja se hranijo nespremenljivi dnevniki. Dnevniki se hranijo 3 leta. |
| Upravljanje ranljivosti | Redno varnostno testiranje, ki se izvaja v skladu z varnostnim programom obdelovalca. Obdelovalec si aktivno prizadeva za certifikat ISO 27001. Kritične ranljivosti se odpravljajo na podlagi prednostnega razvrščanja tveganj. |
| Odziv na incident | Dokumentiran načrt za odzivanje na incidente se vzdržuje in testira vsako leto. Obdelovalec se zavezuje, da bo upravljavca obvestil v 72 urah o potrjeni kršitvi osebnih podatkov (glej 8. člen). |
| Vodenje dobaviteljev | Podobdelovalci so pred sklenitvijo pogodbe dolžni upoštevati skrbni pregled varstva podatkov in pogodbene obveznosti varstva podatkov. |
PRILOGA 3 – Odobreni podobdelovalci
Naslednji podobdelovalci so pooblaščeni na dan začetka veljavnosti. Obdelovalec bo o vseh spremembah 30 dni vnaprej obvestil v skladu s klavzulo 5.3.
| Podobdelovalec | Namen | Država | Prenosni mehanizem | Podatkovne kategorije |
| Amazonske spletne storitve (AWS) | Oblačna infrastruktura in gostovanje | EGP (Irska / Frankfurt) | Ustreznost – s sedežem v EGP; vzpostavljen je AWS DPA | Vsi osebni podatki |
| Stripe | Obdelava plačil (kjer je to primerno) | ZDA | Izvedeni standardni pogodbeni pogoji (Modul 2: Med upravljavcem in obdelovalcem) | Samo ime kontaktne osebe za obračunavanje, e-poštni naslov in metapodatki o plačilu |
| Korporacija Zoho | CRM, e-poštne kampanje, klepet s podporo | ZDA / Indija | Standardni pogodbeni pogoji (Modul 2) izvedeni; možnost prebivališča podatkov Zoho v EU omogočena. Opomba: obseg podatkov, ki jih obdelujejo katere koli funkcije umetne inteligence v Zohu, ureja Zohov lastni DPA in dokumentacija o zasebnosti, ki je na voljo na zoho.com/privacy.html. | Imena, e-poštni naslovi, kontaktni podatki podjetja |
| Pitangent Technologies | Razvoj in vzdrževanje programske opreme | Indija | Standardni pogodbeni pogoji (Modul 2: Med upravljavcem in obdelovalcem) izvedeni; dostop je omejen le na anonimizirane/testne podatke; dostop do produkcijskih osebnih podatkov ni mogoč brez soglasja upravljavca. | Anonimizirani/psevdonimizirani podatki samo v običajnem postopku |
| Mixpanel | Analitika uporabe platforme | ZDA | Izvedeni standardni pogodbeni pogoji (modul 2); omogočeno je prebivališče podatkov v EU. | Samo psevdonimizirani dnevniki uporabniškega vedenja in uporabe |
* EvaluationsHub (Vockam SAS) jamči, da so pri vseh zgoraj navedenih podobdelovalcih, ki niso iz EGP, vzpostavljeni standardni pogodbeni pogoji in/ali enakovredni mehanizmi prenosa. Kopije ustreznih standardnih pogodbenih pogojev so upravljavcu na voljo na pisno zahtevo, naslovljeno na team@.evaluationshub. Com.
