Partner Tech

Pogodba za obdelavo podatkov


v imenu


med naročnikom, posamično imenovanim tudi "stranka" 

, in družbo Partner Tech Europe GmbH, posamično imenovano tudi "izvajalec" ali "stranka" 

, skupaj pa imenovano "stranki".



1. Splošno

  1. V okviru opravljanja storitev po glavni pogodbi, sklenjeni med strankama, ni mogoče izključiti, da bo izvajalec pri vzdrževanju in servisiranju zagotovljene strojne in programske opreme prišel v stik z osebnimi podatki (v nadaljnjem besedilu: podatki stranke), za katere je stranka odgovorni organ v smislu predpisov o varstvu podatkov. Ta pogodba o obdelavi podatkov določa pravice in obveznosti pogodbenih strank v zvezi z ravnanjem z osebnimi podatki naročnika. 
  2. Izvajalec obdeluje osebne podatke v imenu naročnika v smislu člena 3(1) Uredbe o varstvu podatkov. 4, št. 8 in čl. 28 Uredbe (EU) 2016/679 - Splošne uredbe o varstvu podatkov (GDPR). Ta pogodba ureja pravice in obveznosti pogodbenih strank v zvezi z obdelavo osebnih podatkov v imenu naročnika. Posamezne storitve izvajalca so podrobneje opisane v glavni pogodbi, sklenjeni med strankama. Dodatne podrobnosti o zbiranju, obdelavi in uporabi podatkov so na voljo v ponudbah izvajalca, ki so podlaga za poslovno razmerje, in po potrebi v nadaljnjih posameznih naročilih.
  3. Če so v tej pogodbi uporabljeni izrazi, ki so pravno opredeljeni v GDPR, se sprejme ustrezna opredelitev iz GDPR, ki se uporablja kot podlaga za to pogodbo. To velja zlasti za izraz "obdelava" (podatkov) iz člena 1. 4 št. 2 GDPR.


2. Predmet pogodbe

Predmet obdelave, narava in namen obdelave, vrsta osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, so določeni v glavni pogodbi.


3. Pravice in obveznosti stranke

  1. Stranka je upravljavec v smislu člena 3(1) Uredbe GDPR. 4 št. 7 GDPR za obdelavo podatkov v imenu izvajalca. 
  2. Naročnik je odgovoren za varovanje pravic posameznikov, na katere se nanašajo osebni podatki. Izvajalec nemudoma obvesti naročnika, če posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svoje pravice proti izvajalcu.
  3. Naročnik ima pravico, da izvajalcu kadar koli izda dodatna navodila glede vrste, obsega in postopka obdelave podatkov. Navodila morajo biti dana v besedilni obliki (npr. po elektronski pošti). Ustna navodila je treba nemudoma potrditi v besedilni obliki.
  4. Določbe o morebitnem nadomestilu za dodatne stroške, ki jih ima izvajalec zaradi dodatnih navodil naročnika, ostanejo nespremenjene.
  5. Naročnik mora izvajalca takoj obvestiti, če odkrije napake ali nepravilnosti v zvezi z obdelavo osebnih podatkov s strani izvajalca.
  6. V primeru obveznosti posredovanja informacij tretjim osebam v skladu s členoma 33 in 34 SUVP ali katere koli druge pravne obveznosti poročanja, ki velja za naročnika, je za izpolnjevanje teh obveznosti odgovoren naročnik.


4. splošne obveznosti izvajalca

  1. Izvajalec obdeluje osebne podatke izključno v okviru sklenjenih pogodb in/ali v skladu z morebitnimi dodatnimi navodili, ki jih izda naročnik. To ne velja za pravne predpise, ki lahko izvajalca zavezujejo k drugačni obdelavi podatkov. V takem primeru izvajalec pred obdelavo podatkov obvesti naročnika o teh pravnih zahtevah, razen če ustrezni zakon takšno obvestilo prepoveduje zaradi pomembnega javnega interesa. V nasprotnem primeru namen, vrsto in obseg obdelave podatkov ureja izključno ta pogodba in/ali navodila naročnika. Izvajalec ne sme obdelovati podatkov na kakršen koli drug način, razen če stranka v to pisno privoli.
  2. Obdelava podatkov stranke, ki jo izvajalec izvaja v imenu stranke, praviloma poteka v državah članicah Evropske unije (EU) ali Evropskega gospodarskega prostora (EGP). Vendar lahko izvajalec v skladu z določbami te pogodbe obdeluje podatke o stranki tudi zunaj EGP, če izpolnjuje zahteve iz člena 3(1)(2). 44 in naslednjih. GDPR.
  3. Izvajalec mora naročnika nemudoma obvestiti, če po njegovem mnenju navodilo, ki ga je dal naročnik, krši pravne predpise. Izvajalec je upravičen začasno prekiniti izvajanje zadevnega navodila, dokler ga naročnik ne potrdi ali spremeni. Če lahko izvajalec dokaže, da bi obdelava v skladu z naročnikovimi navodili lahko povzročila odgovornost izvajalca v skladu s čl. 82 GDPR, lahko izvajalec v zvezi s tem začasno ustavi nadaljnjo obdelavo, dokler se odgovornost med strankama ne razjasni.
  4. Obdelava podatkov v imenu naročnika zunaj poslovnih prostorov izvajalca ali podizvajalcev je dovoljena le s soglasjem naročnika, ki mora biti dano vsaj v pisni obliki. Obdelava podatkov za naročnika v zasebnih domovih je na splošno dovoljena. Stranka ima v utemeljenih primerih pravico ugovarjati taki obdelavi v zasebnih domovih; izvajalec lahko po lastni presoji nadaljuje obdelavo v svojem poslovnem prostoru ali odpravi razloge za ugovor stranke.
    Izvajalec zagotovi, da se upoštevajo zlasti tehnični in organizacijski ukrepi. Stranka se zaveda, da lahko to povzroči omejitve možnosti nadzora.
  5. Izvajalec podatke, ki jih obdeluje v imenu stranke, obdeluje ločeno od drugih podatkov. Fizična ločitev ni obvezna. 

5. Izvajalčeva pooblaščena oseba za varstvo podatkov
  1. Izvajalec potrjuje, da je imenoval pooblaščeno osebo za varstvo podatkov v skladu s čl. 37 SPLOŠNE UREDBE O VARSTVU PODATKOV. Izvajalec zagotovi, da ima pooblaščena oseba za varstvo podatkov potrebne kvalifikacije in strokovno znanje. Izvajalec naročniku na njegovo zahtevo pisno sporoči ime in kontaktne podatke svoje pooblaščene osebe za varstvo podatkov. 
  2. Obveznost imenovanja pooblaščene osebe za varstvo podatkov v skladu z odstavkom 1 ne velja, če lahko izvajalec dokaže, da mu po zakonu ni treba imenovati pooblaščene osebe za varstvo podatkov, in če lahko izvajalec dokaže, da obstajajo operativni predpisi, ki zagotavljajo obdelavo osebnih podatkov v skladu z zakonskimi določbami, določbami te pogodbe in vsemi nadaljnjimi navodili naročnika.


6. obveznosti izvajalca glede poročanja

  1. Izvajalec je dolžan naročnika nemudoma obvestiti o vsaki kršitvi predpisov o varstvu podatkov ali sklenjenih pogodbenih dogovorov in/ali navodil naročnika, do katere je prišlo pri obdelavi podatkov s strani njega ali drugih oseb, ki sodelujejo pri obdelavi. Enako velja za vsako kršitev varstva osebnih podatkov, ki jih izvajalec obdeluje v imenu naročnika.
  2. Poleg tega mora izvajalec nemudoma obvestiti naročnika, če nadzorni organ proti izvajalcu ukrepa v skladu s členom 3(1)(a) Uredbe (ES) št. 58 GDPR, kar lahko vpliva tudi na obdelavo, ki jo izvajalec izvaja v imenu naročnika.
  3. Izvajalec podpira naročnika pri izpolnjevanju obveznosti poročanja v skladu s čl. 33 GDPR in obveznosti obveščanja v skladu s čl. 34 GDPR. Izvajalčevo poročilo naročniku mora vsebovati zlasti naslednje informacije:

    • opis narave kršitve varstva osebnih podatkov, vključno s kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki, kategorijami zadevnih osebnih podatkov in približnim številom zadevnih zapisov osebnih podatkov, kjer je to mogoče;
    • opis ukrepov, ki jih je izvajalec sprejel ali predlagal za odpravo kršitve varstva osebnih podatkov, in po potrebi ukrepov za ublažitev njenih morebitnih škodljivih učinkov.


7obveznosti izvajalca glede sodelovanja

  1. Izvajalec podpira naročnika pri njegovi obveznosti odzivanja na zahteve za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s členi 12-22 SUVP. Uporabljajo se določbe iz 11. poglavja te pogodbe.
  2. Izvajalec pomaga naročniku pri pripravi evidenc o dejavnostih obdelave. Naročniku na ustrezen način zagotovi potrebne informacije v zvezi s tem.
  3. Izvajalec podpira naročnika pri izpolnjevanju obveznosti iz členov 32-36 SUVP, pri čemer upošteva naravo obdelave in informacije, ki so mu na voljo.


8. pooblastila za nadzor

  1. Naročnik ima pravico, da kadar koli in v potrebnem obsegu spremlja, ali izvajalec spoštuje zakonske določbe o varstvu podatkov in/ali pogodbene določbe, dogovorjene med strankama, in/ali navodila naročnika.
  2. Izvajalec je dolžan naročniku zagotoviti informacije v obsegu, ki je potreben za izvajanje nadzora v smislu odstavka 1.
  3. Naročnik lahko zahteva dostop do podatkov, ki jih izvajalec obdeluje za naročnika, ter do uporabljenih sistemov in programov za obdelavo podatkov.
  4. Naročnik lahko po razumnem obvestilu opravi nadzor v smislu odstavka 1 v prostorih izvajalca v običajnem delovnem času. Naročnik zagotovi, da se pregledi izvajajo le v obsegu, ki je potreben za to, da ne moti nesorazmerno poslovnega delovanja izvajalca.
  5. Pregled v skladu s prejšnjo točko (4) lahko opravi tudi strokovnjak, ki ga imenuje naročnik. Izvajalec mora biti o tem imenovanju obveščen vnaprej in pravočasno, tako da lahko v utemeljenih primerih ugovarja imenovanju, npr. če je strokovnjak potencialni konkurent izvajalca. V primeru takšnega ugovora lahko naročnik po lastni presoji sam opravi ustrezen pregled ali odpravi razloge za ugovor izvajalca (npr. z imenovanjem drugega strokovnjaka). 
  6. V primeru ukrepov nadzornega organa zoper naročnika v smislu člena 3(1)(2)(a) Uredbe (ES) št. 58 Splošne uredbe o varstvu podatkov, zlasti v zvezi z obveznostmi obveščanja in nadzora, mora izvajalec naročniku zagotoviti potrebne informacije in ustreznemu pristojnemu nadzornemu organu omogočiti izvedbo pregleda na kraju samem. Izvajalec mora naročnika obvestiti o vseh takšnih načrtovanih ukrepih.


9. Sklepanje pogodb s podizvajalci

  1. Naročnik se strinja, da lahko izvajalec angažira podizvajalce. Izvajalec mora pred vključitvijo dodatnih podizvajalcev ali zamenjavo obstoječih podizvajalcev o tem obvestiti naročnika. Naročnik lahko v dveh tednih po prejemu informacije od izvajalca iz utemeljenega razloga ugovarja spremembi tako, da o tem obvesti urad, ki ga določi izvajalec. Če v tem roku ne ugovarja, se šteje, da je soglasje za spremembo dano. Podizvajalci, ki jih izvajalec zaposluje ob podpisu pogodbe, so navedeni na naslednji strani XXX in jih naročnik sprejema.
  2. Izvajalec s podizvajalcem sklene pogodbo o obdelavi podatkov, ki je skladna z zahtevami člena XXX. 28 SPLOŠNE UREDBE O VARSTVU PODATKOV. Poleg tega mora izvajalec podizvajalcu naložiti enake obveznosti glede varstva osebnih podatkov, kot so dogovorjene med naročnikom in izvajalcem. Kopijo pogodbe o obdelavi podatkov mora na zahtevo predložiti naročniku.
  3. Izvajalec mora s pogodbenimi določili zlasti zagotoviti, da nadzorna pooblastila (8. člen te pogodbe) naročnika in nadzornih organov veljajo tudi za podizvajalca ter da so dogovorjene ustrezne nadzorne pravice naročnikov in nadzornih organov. Prav tako je treba pogodbeno določiti, da mora podizvajalec dopuščati te nadzorne ukrepe in morebitne preglede na kraju samem.
  4. Storitve, ki jih izvajalec uporablja od tretjih oseb kot izključno pomožne storitve za izvajanje svojih poslovnih dejavnosti, se ne štejejo za podizvajalska razmerja v smislu 9. točke. To so na primer storitve čiščenja, čiste telekomunikacijske storitve brez posebne povezave s storitvami, ki jih izvajalec opravlja za naročnika, poštne in kurirske storitve, prevozne storitve in storitve varovanja. Kljub temu mora izvajalec zagotoviti, da so bili sprejeti ustrezni previdnostni ter tehnični in organizacijski ukrepi za zagotavljanje varstva osebnih podatkov, tudi v primeru pomožnih storitev, ki jih opravljajo tretje osebe. Vzdrževanje in servisiranje informacijskih sistemov ali aplikacij predstavlja podizvajalsko razmerje, ki zahteva privolitev in obdelavo naročila v smislu člena 3(1)(b) Uredbe (ES) št. 28 Splošne uredbe o varstvu podatkov, če se vzdrževanje in testiranje nanašata na sisteme IT, ki se uporabljajo tudi v povezavi z opravljanjem storitev za stranko, in če je med vzdrževanjem mogoče dostopati do osebnih podatkov, ki se obdelujejo v imenu stranke.


10. obveznost varovanja zaupnosti in tajnosti

  1. Obe stranki se zavezujeta, da bosta vse informacije, ki jih prejmeta v zvezi z izvajanjem te pogodbe, za nedoločen čas obravnavali kot zaupne in jih uporabljali samo za izvajanje pogodbe. 
  2. Nobena od strank nima pravice teh informacij v celoti ali delno uporabiti za druge namene kot za pravkar navedene ali jih dati na voljo tretjim osebam. Zgornja določba ne velja za revizije v okviru obdelave naročila.
  3. Zgornje obveznosti iz 1. in 2. točke ne veljajo za informacije, ki jih je ena od strank dokazljivo prejela od tretjih oseb, ne da bi bila dolžna ohraniti zaupnost, ali ki so javno znane.
  4. Izvajalec je dolžan ohraniti zaupnost pri obdelavi podatkov in informacij, ki jih prejme ali zanje izve v zvezi z naročilom. Izvajalec se zavezuje, da bo upošteval enaka pravila o zaupnosti, kot veljajo za naročnika. Naročnik mora izvajalca obvestiti o morebitnih posebnih pravilih zaupnosti.
  5. Izvajalec jamči, da je seznanjen z veljavnimi predpisi o varstvu podatkov in pozna njihovo uporabo. Izvajalec nadalje jamči, da bo svoje zaposlene seznanil z ustreznimi predpisi o varstvu podatkov. 
  6. Izvajalec nadalje jamči, da je zaposlene, ki sodelujejo pri izvajanju del, dodatno zavezal k varovanju zaupnosti in jih seznanil z naročnikovimi navodili. Naročniku na zahtevo predloži dokazila o tej obveznosti zaposlenih.


11. Varstvo pravic posameznikov, na katere se nanašajo osebni podatki

  1. Izvajalec je dolžan podpirati naročnika pri izpolnjevanju njegove obveznosti obdelave zahtevkov posameznikov, na katere se nanašajo osebni podatki, v skladu s členi 12-22 GDPR. Pri tem mora izvajalec zlasti zagotoviti, da se naročniku nemudoma posredujejo potrebne informacije, tako da lahko naročnik izpolni svoje obveznosti v skladu s čl. 12(3) SUVP. Izvajalec zlasti sprejme potrebne ukrepe v skladu z naročnikovimi navodili. 
  2. Če posameznik, na katerega se nanašajo osebni podatki, stopi v stik z izvajalcem, da bi uveljavil svoje pravice v zvezi z obdelavo svojih podatkov, izvajalec ustrezne informacije posreduje naročniku.



12. Tehnični in organizacijski ukrepi za varnost podatkov

  1. Izvajalec se zavezuje naročniku, da bo izvajal tehnične in organizacijske ukrepe, potrebne za uskladitev z veljavnimi predpisi o varstvu podatkov. To vključuje zlasti zahteve iz člena 3(1)(2)(a) Direktive o varstvu podatkov. 32 GDPR.
  2. Stanje tehničnih in organizacijskih ukrepov, ki obstajajo ob sklenitvi pogodbe, je dokumentirano na spletnem naslovu [LINK]. Pogodbenici se strinjata, da bodo morda potrebne spremembe tehničnih in organizacijskih ukrepov zaradi prilagoditve tehničnim in pravnim okoliščinam. Ukrepe, ki ne vplivajo negativno na celovitost, zaupnost in razpoložljivost osebnih podatkov, lahko izvajalec izvaja brez posvetovanja z naročnikom. Naročnik si lahko kadar koli ogleda aktualno različico tehničnih in organizacijskih ukrepov, ki jih je sprejel izvajalec, na zgornji povezavi. 
  3. Izvajalec redno in tudi priložnostno preverja učinkovitost tehničnih in organizacijskih ukrepov, ki jih je sprejel, ter na splošno zagotavlja informacije o potrebnih spremembah na zadevni strani.


13. Trajanje pogodbe; prekinitev

  1. Trajanje te pogodbe ustreza trajanju glavne pogodbe. Ustrezno se uporabljajo določbe, ki urejajo običajno prekinitev glavne pogodbe.
  2. Naročnik ima pravico iz utemeljenih razlogov kadar koli izredno prekiniti to pogodbo. Šteje se, da obstaja utemeljen razlog na strani naročnika, zlasti če
    • izvajalec krši bistveno obveznost iz te pogodbe,
    • izvajalec uporablja naročnikove podatke za namene, ki niso dovoljeni s to pogodbo,
    • izvajalec ne izpolni naročnikovega navodila,
    • izvajalec zavrne izvajanje naročnikovih pravic nadzora ali znatno ovira takšno izvajanje ali
    • izvajalec zaposli drugega obdelovalca v nasprotju z določbami točke 9.
  3. V primeru prekinitve te pogodbe se glavna pogodba lahko nadaljuje le, če je izključeno, da izvajalec obdeluje podatke stranke. V primeru dvoma se za prenehanje glavne pogodbe šteje tudi prenehanje te pogodbe, za prenehanje te pogodbe pa tudi prenehanje glavne pogodbe.


14. Odgovornost

Izvajalec je v skladu z zakonskimi določbami o odgovornosti odgovoren za vso škodo, ki jo utrpi naročnik zaradi krivdnih kršitev te pogodbe s strani izvajalca ali zakonskih obveznosti glede varstva podatkov, ki se neposredno uporabljajo za izvajalca. Morebitne druge omejitve odgovornosti, o katerih se stranki dogovorita (npr. v glavni pogodbi), v zvezi s tem ne veljajo. 


15. Prenehanje pogodbe

  1. Ob prenehanju pogodbe izvajalec izbriše vse dokumente, podatke in rezultate obdelave ali uporabe, nastale v zvezi s pogodbenim razmerjem, ki so prišli v njegovo posest. Izbris se ustrezno dokumentira. 
  2. Morebitne zakonske obveznosti hrambe ali druge obveznosti shranjevanja podatkov ostanejo nespremenjene. V primeru podatkovnih nosilcev jih je treba uničiti, če naročnik zahteva izbris, pri čemer je treba upoštevati vsaj 3. stopnjo varnosti ISO 21964-1 do 3; naročniku je treba predložiti dokazilo o uničenju.
  3. Naročnik ima pravico preveriti, ali je izvajalec v celoti in v skladu s pogodbo vrnil in izbrisal podatke. To lahko stori tudi s pregledom opreme za obdelavo podatkov v prostorih izvajalca. Naročnik mora o vsakem pregledu na kraju samem obvestiti v razumnem roku.


16. Pravica do hrambe

Stranki se strinjata, da je izvajalčeva pravica do hrambe v smislu člena 273 nemškega civilnega zakonika (BGB) v zvezi z obdelanimi podatki in povezanimi nosilci podatkov izključena.


17. končne določbe

  1. Če je naročnikovo premoženje v prostorih izvajalca ogroženo zaradi ukrepov tretjih oseb (npr. z zasegom ali zaplembo), zaradi postopkov zaradi insolventnosti ali drugih dogodkov, mora izvajalec o tem takoj obvestiti naročnika. Izvajalec takoj obvesti upnike, da se zadevni podatki obdelujejo v imenu naročnika.
  2. Dodatni sporazumi morajo biti sklenjeni v pisni obliki.
  3. Če so posamezni deli te pogodbe neveljavni, to ne vpliva na veljavnost preostalih določb pogodbe. Stranki se zavezujeta, da bosta neveljavno določbo nadomestili z zakonsko dopustno določbo, ki se najbolj približa namenu neveljavne določbe in najbolje ustreza zahtevam člena 3(1)(2). 28 GDPR.
  4. V primeru nasprotja med to pogodbo in drugimi dogovori med strankama, zlasti glavno pogodbo in splošnimi pogoji, imajo prednost določbe te pogodbe.
  5. Ta pogodba je priložena splošnim pogojem in je sestavni del pogodbenih dogovorov med strankama. Ločena izjava volje strank o sklenitvi te pogodbe o obdelavi podatkov (npr. s podpisom) ni potrebna.