Pogodba o obdelavi osebnih podatkov

1. Opredelitve pojmov

Pojmi v tej Pogodbi imajo pomen, ki jim ga pripisuje GDPR (Uredba EU 2016/679), vključno z: osebni podatki, obdelava, upravljavec, obdelovalec, posameznik, kršitev varstva osebnih podatkov.

2. Predmet in obseg obdelave

2.1 Predmet

BookSI obdeluje osebne podatke v imenu Upravljavca za namen zagotavljanja platforme za upravljanje rezervacij in poslovnih procesov.

2.2 Kategorije posameznikov

• Stranke salona (Končni uporabniki, ki rezervirajo termine)
• Zaposleni Upravljavca

2.3 Kategorije podatkov

• Identifikacijski podatki: ime in priimek, e-poštni naslov, telefonska številka
• Podatki o rezervacijah: termini, storitve, opombe, zgodovinski podatki
• Oznake: seznam DNC (ne kontaktiraj), VIP oznake, interne opombe

2.4 Narava obdelave

Zbiranje, hranjenje, posodabljanje, brisanje, dostop, prenos in varnostno kopiranje.

2.5 Trajanje obdelave

Za čas veljavnosti Pogojev storitve med Obdelovalcem in Upravljavcem.

3. Obveznosti Obdelovalca

V skladu s členom 28(3) GDPR se BookSI zavezuje, da bo:

1. obdeloval osebne podatke le v skladu z dokumentiranimi navodili Upravljavca, razen kadar to zahteva pravo EU ali država članica;
2. zagotovil, da so pooblaščene osebe, ki imajo dostop do osebnih podatkov, zavezane k zaupnosti;
3. uvedel ustrezne tehnične in organizacijske varnostne ukrepe v skladu s členom 32 GDPR;
4. pri vključevanju podrejenih obdelovalcev spoštoval pogoje iz členov 28(2) in 28(4) GDPR;
5. v skladu z naravo obdelave in v obsegu, ki je izvedljiv, Upravljavcu pomagal pri izpolnjevanju njegovih obveznosti glede pravic posameznikov;
6. Upravljavcu pomagal zagotavljati skladnost z varnostnimi obveznostmi in dolžnostjo obveščanja o kršitvah (členi 32–36 GDPR);
7. na izbiro Upravljavca vse osebne podatke po prenehanju storitev izbrisal ali vrnil ter uničil obstoječe kopije, razen kadar jih zahteva pravo EU ali države članice;
8. Upravljavcu na razpolago dal vse informacije, potrebne za dokazovanje skladnosti z obveznostmi iz tega člena.

4. Obveznosti Upravljavca

Upravljavec jamči, da bo:

1. zagotovil zakonito podlago za obdelavo osebnih podatkov posameznikov, katerih podatke posreduje Obdelovalcu;
2. zagotovil točnost in ustreznost posredovanih osebnih podatkov;
3. Obdelovalca pravočasno obvestil o morebitnih posebnih zahtevah glede podatkov;
4. zagotovil, da ne posreduje posebnih kategorij podatkov (člen 9 GDPR) brez predhodnega soglasja Obdelovalca.

5. Podrejeni obdelovalci

Upravljavec s sprejemom te Pogodbe pooblašča BookSI za vključitev naslednjih podrejenih obdelovalcev:

BookSI bo Upravljavca obvestil o morebitnih nameravanih spremembah glede dodajanja ali zamenjave podrejenih obdelovalcev, s čimer mu da možnost, da nasprotuje takim spremembam.

6. Prenosi izven EGP

Za prenose osebnih podatkov v tretje države (npr. ZDA) BookSI zagotavlja ustrezne zaščitne ukrepe z uporabo standardnih pogodbenih klavzul EU (SCC), sprejetih z Izvedbenim sklepom Komisije EU 2021/914.

7. Varnostni ukrepi in obveščanje o kršitvah

BookSI izvaja naslednje varnostne ukrepe:

• šifriranje med prenosom (TLS/HTTPS) in v mirovanju;
• hashiranje gesel (bcrypt);
• nadzor dostopa na podlagi vlog (RBAC);
• omejevanje hitrosti dostopa in zaščito pred napadi brute-force;
• redni varnostni pregledi in testiranje.

V primeru kršitve varstva osebnih podatkov bo BookSI Upravljavca obvestil brez nepotrebnega odlašanja in najkasneje v 48 urah po zaznavi kršitve, da mu omogoči izpolnitev obveznosti poročanja po členu 33 GDPR (rok 72 ur).

8. Pravice posameznikov

BookSI bo v razumnem roku in v obsegu, ki je tehnično izvedljiv, Upravljavcu pomagal pri izpolnjevanju zahtev posameznikov za uveljavljanje pravic po GDPR (členi 15–22), vključno s pravicami do dostopa, popravka, izbrisa, omejitve obdelave, prenosljivosti in ugovora.

9. Revizije in inšpekcije

BookSI bo Upravljavcu zagotovil vse informacije, potrebne za dokazovanje skladnosti s to Pogodbo, in prispeval k revizijam in inšpekcijam, ki jih izvede Upravljavec ali pooblaščeni revizor. Revizije se izvajajo največ enkrat letno, z vsaj 30-dnevnim predhodnim pisnim obvestilom.

10. Trajanje in prenehanje

Ta Pogodba velja za čas zagotavljanja storitev Upravljavcu. Po prenehanju storitev BookSI izbriše ali vrne vse osebne podatke Upravljavca v 30 dneh, razen kadar hranjenje zahteva veljavna zakonodaja.

11. Odgovornost

Vsaka stranka je odgovorna za kršitve svojih obveznosti po tej Pogodbi. Skupna odgovornost BookSI ne presega omejitev, določenih v Pogojih storitve BookSI.

12. Veljavno pravo

Za to Pogodbo se uporablja pravo Republike Slovenije. Za spore so pristojna sodišča v Ljubljani, Slovenija.

13. Končne določbe

Ta Pogodba nadomešča vse predhodne dogovore glede obdelave osebnih podatkov med strankami. V primeru neskladnosti med to Pogodbo in Pogoji storitve glede obdelave osebnih podatkov prevlada ta Pogodba.