PRILOGA št. 3 k pogojem uporabe: Pogodba o obdelavi podatkov

V veljavi od 26. novembra 2025

Ta pogodba o obdelavi podatkov velja med vami in družbo ESET, kadar osebne podatke obdelujete kot upravljavec podatkov prek uporabe storitev družbe ESET, zagotovljenih v skladu s pogoji, družba ESET pa take osebne podatke obdeluje v vašem imenu kot obdelovalec podatkov.

V skladu z zahtevami Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takšnih podatkov ter o razveljavitvi Direktive 95/46/ES (»GDPR«), družba ESET (»obdelovalec«) in vi (»upravljavec«) sklepata pogodbeno razmerje o obdelavi podatkov z namenom opredelitve pogojev in določil za obdelavo osebnih podatkov, načina njihove zaščite, kakor tudi opredelitve drugih pravic in obveznosti obeh pogodbenih strank pri obdelavi osebnih podatkov posameznikov v imenu upravljavca v času izvajanja predmeta teh pogojev v okviru glavne pogodbe.

1. Obdelava osebnih podatkov. Storitve, zagotovljene v skladu s temi pogoji, vključujejo obdelavo podatkov, povezanih z določenim ali določljivim posameznikom v imenu upravljavca, kot je določeno v pravilniku o zasebnosti (»osebni podatki«).

2. Dovoljenje. Upravljavec obdelovalcu daje dovoljenje za obdelavo osebnih podatkov, ki vključuje naslednja navodila:

(i) Namen obdelave pomeni zagotavljanje storitev v skladu s temi pogoji in dokumentacijo. Obdelovalec ima dovoljenje za obdelavo osebnih podatkov v imenu upravljavca le v zvezi z zagotavljanjem storitev, ki jih zahteva upravljavec. Vsi podatki, zbrani za dodatne namene, so obdelani zunaj pogodbenega razmerja med upravljavcem in obdelovalcem.

(ii) Obdobje obdelave pomeni obdobje od začetka sodelovanja v skladu s temi pogoji do konca tega obdobja.

(iii) Obseg in kategorije osebnih podatkov pomenijo vse osebne podatke, ki jih upravljavec zagotovi ali da na voljo med zagotavljanjem storitev. Storitve so namenjene le za obdelavo splošnih osebnih podatkov. Za določanje obsega osebnih podatkov pa je izključno odgovoren upravljavec.

(iv) Posameznik je posamezna oseba, kot je pooblaščeni uporabnik upravljavčevih naprav, za katerega se zagotavljajo storitve.

(v) Dejavnosti obdelave so vsakršni in vsi postopki, potrebni za obdelavo.

(vi) Dokumentirana navodila pomenijo navodila, opisana v teh pogojih, pripadajočih prilogah, pravilniku o zasebnosti in dokumentaciji. Upravljavec je odgovoren za zakonito dopusten način obdelave osebnih podatkov s strani obdelovalca v zvezi z veljavnimi določbami zakonodaje o varstvu podatkov.

3. Obveznosti obdelovalca. Obdelovalec je obvezan:

(i) obdeluje osebne podatke samo na podlagi dokumentiranih navodil in v skladu z namenom obdelave,

(ii) osebe, pooblaščene za obdelavo osebnih podatkov (»pooblaščene osebe«), obvestiti o njihovih pravicah in dolžnostih v skladu z uredbo GDPR, njihovi odgovornosti v primeru kršitve ter zagotoviti, da se pooblaščene osebe zavežejo k zaupnosti in upoštevajo dokumentirana navodila,

(iii) sprejme vse ukrepe v zvezi z varnostjo obdelave, kot jih zahteva člen 32 GDPR, pri čemer upošteva napredne tehnologije, stroške izvajanja ter naravo, obseg, kontekst in namene obdelave ter tveganje različne verjetnosti in resnosti za pravice in svoboščine posameznikov, da pri obdelavi osebnih podatkov upravljavca zagotovi raven varnosti, ki ustreza tveganju,

(iv) z upoštevanjem vrste obdelave upravljavcu pomagati pri odzivanju na zahteve posameznikov v zvezi z njihovimi pravicami. Obdelovalec ne sme popravljati, izbrisati ali omejiti obdelave osebnih podatkov brez navodila upravljavca. Vse zahteve posameznikov v zvezi z osebnimi podatki, obdelanimi v imenu upravljavca, je treba brez odlašanja posredovati upravljavcu.

(v) upravljavcu pomagati pri obveščanju nadzornega organa in posameznika o kršitvi varstva osebnih podatkov. Obdelovalec mora upravljavca obvestiti o kakršni koli kršitvi varstva pri obdelavi osebnih podatkov ali varstva osebnih podatkov takoj po odkritju kršitve. Obdelovalec mora v smiselnem obsegu sodelovati pri preiskavi in popravljanju učinkov kršitve ter sprejeti smiselne ukrepe za omejevanje nadaljnjih negativnih posledic.

(vi) po izbiri upravljavca izbrisati ali vrniti vse osebne podatke upravljavcu, ko se izteče obdobje obdelave. Upravljavec se zavezuje, da bo obdelovalca o svoji odločitvi obvestil v desetih (10) dneh po izteku obdobja obdelave. To določilo ne vpliva na obdelovalčevo pravico do obdržanja osebnih podatkov v potrebnem obsegu za namene arhiviranja v javnem interesu, namene znanstvenih raziskav, statistične namene ali za namene osnovanja, izvajanja ali zagovor zakonitih zahtevkov.

(vii) voditi posodobljen register vseh vrst dejavnosti obdelave, opravljenih v imenu upravljavca,

(viii) upravljavcu zagotoviti vse informacije, potrebne za izkazovanje skladnosti, v okviru pogojev, pripadajočih prilog, pravilnika o zasebnosti in dokumentacije. V primeru revizije ali nadzora obdelave osebnih podatkov s strani upravljavca je upravljavec o načrtovani reviziji ali nadzoru obvezan obdelovalca pisno obvestiti vsaj trideset (30) dni vnaprej.

4. Vključevanje drugega obdelovalca. Obdelovalec ima pravico vključiti drugega obdelovalca za izvedbo določenih dejavnosti obdelave, kot je zagotavljanje shrambe v oblaku in infrastrukture za storitev v skladu s pogoji, pripadajočimi prilogami, pravilnikom o zasebnosti in dokumentacijo. V takem primeru obdelovalec ostane edina točka stika in stranka, ki je odgovorna za zagotavljanje skladnosti. Obdelovalec se zavezuje, da bo upravljavca obveščal o vsakršni vključitvi dodatnega ali nadomestnega drugega obdelovalca, da mu omogoči možnost ugovora na zadevno spremembo. Obdelovalci, ki trenutno sodelujejo, so navedeni v pravilniku o zasebnosti obdelovalca.

5. Geografsko območje obdelave. Obdelovalec mora zagotoviti, da se obdelava izvaja v Evropskem gospodarskem prostoru ali na podlagi odločitve upravljavca v državi, ki je z odločbo Evropske komisije označena kot varna. V primeru prenosov in obdelave zunaj Evropskega gospodarskega prostora ali na zahtevo upravljavca v državi, ki je z odločbo Evropske komisije označena kot varna, veljajo standardne pogodbene klavzule.

6. Varnost. Obdelovalec potrjeno izpolnjuje zahteve standarda ISO 27001 in uporablja ogrodje standarda ISO 27001 za izvajanje večplastne zaščitne in varnostne strategije z uporabo varnostnih kontrol na ravni omrežja, operacijskih sistemov, zbirk podatkov, aplikacij, osebja in operativnih procesov. Skladnost z regulativnimi in pogodbenimi zahtevami se redno preverja in pregleduje podobno kot druga infrastruktura in postopki obdelovalca, pri čemer se redno izvajajo potrebni koraki za zagotavljanje skladnosti. Obdelovalec je varnost podatkov organiziral s sistemom ISMS na podlagi standarda ISO 27001. Varnostna dokumentacija vsebuje pretežno dokumente s pravilniki za varnost podatkov, fizično varnost, varnost opreme, upravljanje incidentov, obravnavanje uhajanja podatkov ter varnostnih incidentov itd.

7. Tehnični in organizacijski ukrepi. Obdelovalec mora osebne podatke zaščititi pred naključno in nezakonito poškodbo in uničenjem. naključno izgubo, spremembo, nepooblaščenim dostopom in razkritjem. V ta namen mora obdelovalec izvesti ustrezne tehnične in organizacijske ukrepe, ki se ujemajo z načinom obdelave in tveganjem, ki ga predstavlja obdelava za pravice posameznikov, v skladu z zahtevami uredbe GDPR. Podroben opis tehničnih in organizacijskih ukrepov je naveden v varnostnem pravilniku.

8. Podatki za stik z obdelovalcem. Vsa obvestila, zahteve, pozive in drugo dokumentacijo v zvezi z varstvom osebnih podatkov je treba nasloviti na ESET, spol. s.r.o., s polnim naslovom: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.