Naročnik (tj. pravna oseba ali samostojni podjetnik, ki v postopku registracije uporabniškega računa za uporabo storitve eSIMPLEE (https://esimplee.com) sprejme Splošne pogoje uporabe storitve eSIMPLEE (v nadaljevanju: uporabnik, naročnik oz. upravljavec)
in
TRAVARGA, Luka Varga s.p.
Trata V 8
1330 Kočevje
Matična številka: 8070741000
Davčna številka: 95919210
Email: info@esimplee.com
(v nadaljevanju: ponudnik, družba ali obdelovalec).
sklepata naslednjo
Drugi pojmi imajo pomen, kot jim ga pripisuje Uredba.
Ta pogodba določa pravice in dolžnosti pogodbenih strank, povezane z varstvom osebnih podatkov in obdelavo osebnih podatkov s strani obdelovalca zaradi uveljavljanja njunih pravic in dolžnosti, ki izhajajo iz krovne pogodbe.
Pogodbeni stranki s to pogodbo določita vsebino in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki ter pravice obveznosti upravljavca.
Vsebina obdelave osebnih podatkov, trajanje obdelave osebnih podatkov, narava in namen obdelave, vrsta osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, so opredeljeni v Prilogi 1 k tej pogodbi.
V kolikor tekom poslovnega sodelovanja v okviru krovne pogodbe prihaja do vsebinskih sprememb glede podatkov, navedenih v tem členu, pogodbeni stranki skleneta aneks k tej pogodbi.
Upravljavec je dolžan zagotoviti, da se osebni podatki obdelujejo zakonito, pošteno in pregledno v skladu z Uredbo in nacionalno zakonodajo.
Pogodbeni stranki se dogovorita, da so vsa navodila upravljavca glede narave, obsega ter namena obdelave osebnih podatkov, ki jih upravljavec posreduje obdelovalcu za izpolnjevanje pravic in obveznosti iz krovne pogodbe, zajeta že v določilih te pogodbe.
Obdelovalec bo obdeloval osebne podatke, ki jih je pridobil od upravljavca, izključno v imenu in na osnovi navodil upravljavca, zajetih v tej pogodbi.
Obdelovalec ne sme osebnih podatkov obdelovati na način, ki je nezdružljiv z osnovnim namenom zbiranja osebnih podatkov, tj. izven obsega in namena obdelave, predvidene s to pogodbo in krovno pogodbo. V primeru dvomov je obdelovalec dolžan pridobiti pisno soglasje upravljavca pred obdelavo osebnih podatkov.
Za obdelavo osebnih podatkov v druge namene, kot so opisani v tej pogodbi in krovni pogodbi, je potrebno predhodno pisno soglasje upravljavca.
Konkretneje so pravice in obveznosti obdelovalca, ki hkrati pomenijo tudi navodila upravljavca v zvezi z obdelavo osebnih podatkov, opredeljene v naslednjih členih te pogodbe.
Obdelovalec in katera koli oseba, ki ukrepa pod vodstvom obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, ki so zajeta že v določbah te pogodbe, razen če to od njega zahteva pravo EU ali nacionalna zakonodaja.
Navodila upravljavca so določena v tej pogodbi in jih lahko upravljavec nato občasno dopolni glede narave, obsega ter namena obdelave osebnih podatkov, pri čemer je dolžan pri tem upoštevati razumni rok, v katerem lahko obdelovalec začne izpolnjevati to navodilo.
Obdelovalec je dolžan upoštevati navodila in zahteve upravljavca v razumnem roku, ki ga določi upravljavec. V izogib dvomu mora obdelovalec v primerih, ko je ukrepanje nujno potrebno in ni časa za pridobitev pisnega navodila, upoštevati tudi ustna navodila, ki jih mora upravljavec naknadno pisno potrditi brez nepotrebnega odlašanja.
Obdelovalec mora zagotoviti, da vsi zaposleni in druge osebe, ki delujejo po njegovem pooblastilu in imajo dostop do osebnih podatkov, le-te obdelujejo izključno po navodilih upravljavca, razen če Uredba in/ali nacionalna zakonodaja ne zahteva drugače.
Če obdelovalec meni, da upravljavčeva navodila kršijo obvezne določbe Uredbe ali nacionalne zakonodaje, mora upravljavca nemudoma obvestiti o mogoči kršitvi še pred obdelavo osebnih podatkov. Po potrditvi s strani upravljavca mora upoštevati potrjena ali dopolnjena navodila.
Obdelovalec obdelavo osebnih podatkov zaupa samo zaposlenim (in morebitnim drugim osebam, povezanih z obdelavo osebnih podatkov), ki so zavezani k zaupnosti na podlagi same pogodbe o zaposlitvi, dogovora ali ustrezne izjave o varovanju zaupnosti in so bili predhodno seznanjeni z določbami o varstvu osebnih podatkov, pomembnimi za njihovo delo ter z vzpostavljenimi varnostnimi ukrepi.
V izogib dvomu, mora ta zavezanost k zaupnosti veljati tudi po prenehanju pogodbenega razmerja med obdelovalcem in zaposlenimi / drugimi osebami.
Obdelovalec izjavlja, da so vsi zaposleni in druge osebe, ki imajo dostop do osebnih podatkov, pogodbeno zavezani k varovanju zaupnosti osebnih podatkov oziroma so podali ustrezno pisno izjavo o tem.
Obdelovalec in vsaka oseba, ki deluje pod njegovim pooblastilom in ima dostop do osebnih podatkov, te podatke obdeluje le po navodilih upravljavca, ki so opredeljena zlasti s to pogodbo, razen če obdelavo podatkov zahteva nacionalna zakonodaja.
Ne glede na trajanje veljavnosti te pogodbe ali krovne pogodbe je dolžnost varovanja zaupnosti osebnih podatkov trajna.
Obdelovalec izjavlja in jamči, da je izvedel in tekoče izvaja vse ustrezne tehnične in organizacijske ukrepe tako, da obdelava osebnih podatkov ustreza varnostnim in vsem drugim zahtevam obdelave osebnih podatkov, ki so navedene v Uredbi (zlasti v 32. členu – Varnost obdelave), oziroma zahtevam iz Priloge 1 te pogodbe ter navodilom upravljavca, vse na način, ki zagotavlja zaščito pravic posameznikov, na katere se osebni podatki nanašajo.
Obdelovalec mora v času veljavnosti te pogodbe ohranjati vse nadpisane tehnične in organizacijske ukrepe, s katerimi zagotavlja varnost obdelave.
Tehnični in organizacijski ukrepi so predmet tehničnega napredka in nadaljnjega razvoja. V zvezi s tem je obdelovalcu dovoljeno izvajati primerne alternativne ukrepe. Pri tem se stopnja varnosti obstoječih ukrepov ne sme zmanjšati.
Obdelovalec mora biti zmožen dokazati skladnost dejavnosti obdelave z Uredbo in nacionalno zakonodajo, vključno z učinkovitostjo ukrepov.
Obdelovalec lahko za obdelavo osebnih podatkov, ki jih obdeluje v imenu upravljavca, najame podobdelovalce (podizvajalci) zaradi namena izpolnitve obveznosti iz krovne pogodbe, kar upravljavec potrdi s podpisom te pogodbe.
Upravljavec se strinja z imenovanjem podobdelovalcev, ki sestavljajo Prilogo 2 te pogodbe.
Upravljavec se prav tako strinja z imenovanjem morebitnih drugih podobdelovalcev, ki jih najame obdelovalec za namene zagotavljanja delovanja aplikacije iz krovne pogodbe, pri čemer o tem upravljavec ne bo posebej obveščen s strani obdelovalca.
Obdelovalec mora skladno s prejšnjim odstavkom podobdelovalce pisno zavezati k pogodbenim zahtevam, ki izhajajo iz te pogodbe, Uredbe in nacionalne zakonodaje, vse v skladu z dolžnostmi, opredeljenimi v 28. členu Uredbe. V pogodbah za podobdelavo podatkov mora biti odgovornost obdelovalca in podobdelovalca jasno opredeljena in določena.
Obdelovalec je dolžan ob upoštevanju narave in vrste obdelave, kolikor je to mogoče, pri izpolnjevanju obveznosti upravljavca glede zahtev posameznika, na katerega se nanašajo osebni podatki, zagotoviti pomoč z ustreznimi tehničnimi in organizacijskimi ukrepi.
Obdelovalec je nadalje dolžan ob upoštevanju narave in vrste obdelave ter informacij, ki so dostopne obdelovalcu, upravljavcu pomagati pri izpolnjevanju obveznosti, določenih v Uredbi in nacionalni zakonodaji, še zlasti obveznosti, ki se nanašajo na (a) varnost obdelave, (b) uradno obvestilo Informacijskemu pooblaščencu o kršitvah varstva osebnih podatkov, (c) sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvah varstva osebnih podatkov, (d) morebitno oceno učinka v zvezi z varstvom podatkov in (e) predhodno posvetovanje.
V primerih, kjer je upravljavec dolžan zagotoviti informacije o osebnih podatkih, ki jih obdeluje v lastnem imenu, ali dejavnostih njihove obdelave posameznikom, na katere se osebni podatki nanašajo, nadzornemu organu ali tretjim strankam, mora obdelovalec upravljavcu takoj po prejemu zahteve zagotoviti vse potrebne informacije, dokumente in vso drugo potrebno podporo.
V kolikor obdelovalec odkrije kršitev varstva osebnih podatkov ali morebitno kršitev varstva osebnih podatkov, mora o tem obvestiti upravljavca.
Kršitev se lahko nanaša na kršitev te pogodbe oziroma navodil upravljavca, Uredbe, nacionalne zakonodaje s strani obdelovalca, njegovih zaposlenih ali tretjih strank. Nadalje se kršitev nanaša lahko tudi na neželeno ali nepričakovano stanje sistema, storitve ali omrežja, ki nakazuje možno kršitev informacijske varnostne politike ali nedelujoče ščitenje oziroma neznana situacija, ki bi bila lahko relevantna za varstvo osebnih podatkov po Uredbi in/ali nacionalni zakonodaji (t.i. varnostni incident).
Informacije o kršitvi varstva osebnih podatkov ali morebitni kršitvi varstva osebnih podatkov morajo obsegati informacije o času in naravi kršitve (vključno z informacijo o kategorijah posameznikov, na katere se osebni podatki nanašajo, o približni oceni števila prizadetih posameznikov, na katere se osebni podatki nanašajo, o osebnih podatkih, zajetih v okviru kršitve, ter o kontaktni osebi, ki bo nudila več informacij upravljavcu), prizadetem sistemu, času odkritja, vseh morebitnih posledicah kršitve varnosti podatkov ter o ukrepih, ki jih je obdelovalec sprejel ali jih predlaga za odpravo ali ublažitev kršitve varstva osebnih podatkov.
Prvo obvestilo upravljavcu je treba poslati najkasneje v 48 urah po odkritju kršitve varstva osebnih podatkov ali morebitne kršitve varstva osebnih podatkov. Dodatna in podrobnejša obvestila z vsemi ustreznimi informacijami glede kršitve varstva osebnih podatkov, je treba upravljavcu redno pošiljati, takoj ko se pojavijo nove informacije.
Obdelovalec mora na prvo zahtevo upravljavca v razumnem obsegu upravljavcu nuditi vso potrebno ali zahtevano podporo glede izpolnjevanja zakonskih ali drugih pogodbenih obveznosti upravljavca v povezavi s kršitvami varstva osebnih podatkov. Zlasti mora obdelovalec brez nepotrebnega odlašanja vzpostaviti vse razumne ukrepe za zmanjšanje in odpravljanje groženj nedotakljivosti in zaupnosti osebnih podatkov, zavarovanje osebnih podatkov in preprečitev vseh morebitnih negativnih posledic za posameznike, na katere se nanašajo osebni podatki oz. za zmanjšanje njihovih učinkov na najmanjšo možno mero.
Če obdelovalec prejme zahtevo za informacije glede osebnih podatkov, ki jih obdeluje v imenu upravljavca, s strani pristojnih/nadzornih organov, mora o tem nemudoma obvestiti upravljavca o prejemniku, času in vsebini zahtevanih informacij, razen če pravo takšno obvestilo prepoveduje na podlagi pomembnih razlogov v javnem interesu.
Obdelovalec je dolžan upravljavcu omogočiti izvedbo nadzora ter pregledov ter sodelovanje pri teh nadzorih in pregledih.
V okviru pravice do nadzora ima upravljavec pravico preverbe glede upoštevanja sprejetih tehničnih in organizacijskih ukrepov zaradi zagotavljanja skladnosti obdelave podatkov z določbami te pogodbe oziroma navodili upravljavca, Uredbo in nacionalno zakonodajo.
Upravljavec lahko nadzor opravlja bodisi sam bodisi za to pooblasti revizorja, ki se pooblasti v vsakem posameznem primeru. Nadzor skladnosti mora upravljavec napovedati vsaj 5 dni pred samo izvedbo revizije.
Obdelovalec se zavezuje, da bo upravljavcu oziroma pooblaščenemu revizorju zagotovil potrebne informacije, zlasti da bo predstavil izvajanje tehničnih in organizacijskih ukrepov, ter nudil tudi podporo v fazi izvajanja nadzora.
Po poteku veljavnosti te pogodbe ima upravljavec pravico od obdelovalca zahtevati, da ta osebne podatke popravi, izbriše, blokira ali mu jih vrne iz vseh podatkovnih nosilcev (tako fizičnih kot elektronskih), razen če pravo EU ali nacionalna zakonodaja predpisuje shranjevanje osebnih podatkov. Obdelovalec mora na zahtevo upravljavca pisno dokumentirati vsak izbris in uničenje osebnih podatkov in upravljavcu, ter upravljavcu posredovati tovrstno dokumentacijo.
Natančen rok hrambe podatkov je naveden v Prilogi 1 te pogodbe.
Kontaktni osebi za komunikacijo in obveščanje po tej pogodbi sta dosegljivi na elektronskih naslovih, ki sta navedena na začetku tega dokumenta pod podatki zadevne stranke oz. ki se pri družbi vodijo v zvezi z zadevno stranko.
Spremembe kontaktne osebe je treba drugi stranki sporočiti brez nepotrebnega odlašanja. V nujnih primerih se lahko navodila in zahteve sporočijo po in k drugim osebam, če imenovane osebe niso dosegljive.
Če se posameznik, na katerega se nanašajo osebni podatki, zaradi uveljavljanja pravic (npr. zahteve po dostopu do podatkov, popravku, omejitvi obdelave itd.) obrne neposredno na obdelovalca, mora obdelovalec v roku 5 dni zahtevo posredovati upravljavcu, oziroma mu sam nuditi pomoč, v kolikor je to mogoče in se upravljavec s tem strinja. Obdelovalec s posameznikom, na katerega se nanašajo osebni podatki, sicer ne sme vzpostaviti neposrednega stika, razen če mu upravljavec da drugačna navodila.
Obdelovalec mora takoj po prejemu tovrstnih navodil s strani upravljavca ta navodila upoštevati (npr. osebne podatke upravljavca popraviti, izbrisati, omejiti njihovo obdelavo itd.) in navedeno dokumentirati. Dokumentirano izvršitev zahteve je treba predložiti upravljavcu na njegovo zahtevo.
Spremembe te pogodbe so veljavne le v pisni obliki.
Pogodbeni stranki se dogovorita, da se za vsa vprašanja, ki niso urejena s to pogodbo uporabljajo vsakokrat veljavni pravni predpisi, ki urejajo vprašanje varstva osebnih podatkov in obligacijskih razmerij.
Pogodbeni stranki bosta morebitne spore, nastale pri izvrševanju te pogodbe reševali po mirni poti, v kolikor pa to ne bo mogoče, bosta spor predložili v reševanje pristojnemu sodišču v Ljubljani.
Stranki se strinjata, da se ta pogodba o obdelavi osebnih podatkov šteje za sklenjeno z naročnikovim sprejemom krovne pogodbe in ob uspešni registraciji uporabniškega računa.
Priloge (2/2):
Priloga 1 – Dokumentirana navodila upravljavca o obdelavi in zaščiti osebnih podatkov
Priloga 2 – Potrjeni podobdelovalci obdelovalca
| IME ZBIRKE OSEBNIH PODATKOV UPRAVLJAVCA | VRSTE PODATKOV V ZBIRKI OSEBNIH PODATKOV | KATEGORIJE POSAMEZNIKOV NA KATERE SE NANAŠAJO OSEBNI PODATKI | PREDVIDENI ROKI ZA IZBRIS OSEBNIH PODATKOV | NAMENI OBDELAVE OSEBNIH PODATKOV | VRSTA OBDELAVE OSEBNIH PODATKOV (opis/pojasnilo) | SEZNAM FIZIČNIH, TEHNIČNIH IN LOGIČNO-TEHNIČNIH POSTOPKOV IN UKREPOV, KI JIH MORA IZVAJATI OBDELOVALEC OZIROMA VSAK NJEGOV PODOBDELOVALEC |
|---|---|---|---|---|---|---|
| Vneseni računi in drugi morebitni podatki, ki so potrebni za pripravo letnega poročila | Identifikacijski podatki s.p. (ime, priimek, naslov, davčna št.) Letni prihodki (zneski, obdobja) Ostali morebitni podatki naloženih računov (ime/priimek stranke, naslov, datumi, zneski, opisi, transakcije) Ročno vneseni podatki (npr. prihodki) | Uporabnik storitve eSIMPLEE (normirani s.p. ali fizična oseba – podjetnik) Morebitne končne stranke oz. fizične osebe, navedene na računih uporabnika | Davčna poročila, računi in vsi podatki, ki so potrebni za pripravo letnega poročila, se hranijo največ 30 mesecev od zadnje aktivnosti uporabnika, nato pa se trajno anonimizirajo. Varnostno kopirani podatki se posodabljajo na 7 dni. Varnostne kopije so anonimizirane skupaj z izvornimi podatki. | Nudenje temeljnih funkcionalnosti storitve (tj. avtomatizirana priprava letnega poročila uporabnika) na podlagi krovne pogodbe | Avtomatizirana obdelava prejetih dokumentov/računov s pomočjo storitev podobdelovalcev Shranjevanje podatkov in enkripcija podatkov Avtomatiziran izračun prihodkov in generiranje poročila Posredovanje dokumenta uporabniku Izbris ali anonimizacija po prenehanju uporabe storitve s strani uporabnika Varnostno kopiranje podatkov pri podobdelovalcu AWS (glej spodnjo tabelo) | Zaščita elektronskih podatkov z gesli in šifriranjem na ravni operacijskega sistema in omrežnega dostopa; omejena pooblastila zaposlenih za dostop do podatkov glede na delovne naloge; dostop do podatkov omogočen izključno za izvajanje pogodbenih obveznosti iz krovne pogodbe. |
| Podatki o podobdelovalcu | Osebni podatki, dejavnosti obdelave in namen podobdelave | Kraj obdelave in rok hrambe ter pravna podlaga in varnostni ukrepi |
|---|---|---|
| Anthropic, Inc., 333 BUSH STREET 4TH FLOOR SAN FRANCISCO CA 94104, Združene države Amerike | Dejavnost obdelave: AI-podprta ekstrakcija in validacija podatkov iz računov z uporabo modelov umetne inteligence (LLM) za potrebe avtomatizirane obdelave dokumentov, ki jih naložijo uporabniki. Namen: zagotavljanje avtomatizirane priprave poročila pri zagotavljanju storitve iz krovne pogodbe. | Kraj obdelave: Združene države Amerike Rok hrambe: izbris v 30 dneh od dneva prejema zahteve za izbris. Pravna podlaga in varnostni ukrepi: DPA pogodba: https://assets-global.website-files.com/6548404a216c2e42eb79648b/65680354f8f4425cc8a8110c_Toothless-Anthropic_DPA_Sep-22-2023.pdf ki je veljavna na dan 30. 11. 2025 oz. vsaka kasneje veljavna DPA pogodba tega podobdelovalca. |
| Amazon Web Services, Inc. (AWS), 410 Terry Avenue North, Seattle, WA 98109, ZDA | Vsi podatki, shranjeni v bazi (identifikacijski podatki s.p., prihodki, podatki iz računov, ročni vnosi). Dejavnost: gostovanje baze podatkov (PostgreSQL), gostovanje spletne aplikacije (Amplify). Namen: osnovna infrastruktura za delovanje storitve eSIMPLEE. | Kraj obdelave: EU – Frankfurt (eu-central-1) Rok hrambe: AWS hrani podatke le za čas trajanja uporabe storitve in konfiguracije upravljavca. Po izbrisu s strani upravljavca AWS ne hrani kopij. Varnostne kopije so anonimizirane skupaj z izvornimi podatki. Pravna podlaga in varnostni ukrepi: DPA: https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html ki je veljavna na dan 30. 11. 2025 oz. vsaka kasneje veljavna DPA pogodba tega podobdelovalca. |
| Render Services, Inc., 525 Brannan Street, Suite 300, San Francisco, CA 94107, ZDA | Podatki: Log zapisi in drugi tehnični podatki uporabnika. Dejavnost: gostovanje zalednih sistemov Namen: osnovna infrastruktura za delovanje storitve eSIMPLEE. | Kraj obdelave: EU – Frankfurt (eu-central-1) - preko ponudnika AWS Rok hrambe: ponudnik hrani podatke le za čas trajanja uporabe storitve in konfiguracije upravljavca. Pravna podlaga in varnostni ukrepi: DPA: https://render.com/dpa |
| Google Cloud Platform (Google LLC), 1600 Amphitheatre Parkway, Mountain View, CA 94043, ZDA | Osebni podatki: računi, priložene datoteke, podatki iz OCR obdelave. Dejavnost: shranjevanje dokumentov in OCR obdelava preko Google Document AI. Namen: razpoznavanje znakov in podatkov iz računov ter varno shranjevanje datotek. | Kraj obdelave: EU – znotraj Evropske unije (lokacija podatkovnih centrov skladno z nastavitvami Pravna podlaga: DPA: https://cloud.google.com/terms/data-processing-addendum |
| Google LLC (Gmail SMTP), 1600 Amphitheatre Parkway, Mountain View, CA 94043, ZDA | Osebni podatki: e-poštni naslov uporabnika, vsebina transakcijskih sporočil (npr. prijavne povezave, obvestila). Dejavnost: zagotavljanje pošiljanja transakcijskih e-poštnih sporočil preko Gmail SMTP. Namen: dostava prijavnih povezav, obvestil o dostavi dokumentov ter drugih transakcijskih sporočil, potrebnih za delovanje storitve. | Kraj obdelave: EU – podatkovni centri EU (v skladu z nastavitvami lokacije podatkov Google Workspace / Gmail SMTP) Hramba Podatki se hranijo le toliko časa, kot je potrebno za dostavo e-poštnih sporočil; Gmail SMTP ne hrani podatkov po prenosu razen minimalnih dnevniških zapisov, ki se hranijo skladno s tehničnimi zahtevami (običajno do 30 dni), nato se brišejo. Pravna podlaga DPA: https://cloud.google.com/terms/data-processing-addendum |