Obdelovalec bo obdeloval Osebne podatke izključno za namen izvajanja storitev, določenih v Glavni pogodbi. Predmet obdelave zajema naslednje parametre:

2.1 Kategorije posameznikov

• Stranke in potencialne stranke (Leads) Upravljavca.
• Zaposleni, agenti in zunanji sodelavci Upravljavca (uporabniki SaaS platforme).
• Poslovni partnerji in dobavitelji Upravljavca.

2.2 Vrste osebnih podatkov

2.3 Narava obdelave

Obdelava vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje, iskanje, vpogled, uporabo, posredovanje (znotraj platforme), omejevanje, izbris in uničenje podatkov z uporabo avtomatiziranih IT in AI sistemov.

Obdelovalec se zavezuje, da bo pri obdelavi Osebnih podatkov strogo upošteval naslednje obveznosti:

• Pisna navodila: Osebne podatke obdeluje izključno na podlagi dokumentiranih navodil Upravljavca (kar vključuje uporabo funkcij znotraj SaaS platforme). Če Obdelovalec meni, da navodilo krši GDPR, o tem nemudoma obvesti Upravljavca.
• Zaupnost: Zagotavlja, da so osebe, pooblaščene za obdelavo (zaposleni, zunanji sodelavci), zavezane k strogi pravni obveznosti zaupnosti.
• Pomoč Upravljavcu: Ob upoštevanju narave obdelave in informacij, ki so mu na voljo, Upravljavcu nudi pomoč pri izpolnjevanju obveznosti glede varnosti, prijave kršitev in izvajanja ocen učinka v zvezi z varstvom podatkov (DPIA).
• Omejitev uporabe: Osebnih podatkov Upravljavca nikoli ne uporablja za lastne marketinške namene, prodajo tretjim osebam ali monetizacijo podatkov.

Upravljavec kot lastnik podatkov nosi primarno odgovornost za zakonitost obdelave. Upravljavec se zavezuje, da:

• Ima veljavno pravno podlago (npr. privolitev, pogodba, zakoniti interes) za zbiranje in prenos Osebnih podatkov Obdelovalcu.
• Je posameznikom pravočasno zagotovil vse potrebne informacije (Privacy Policy) v skladu s 13. in 14. členom GDPR.
• Ne bo v sisteme Obdelovalca vnašal posebnih vrst osebnih podatkov (zdravstveni podatki, biometrija, politično prepričanje), razen če je to izrecno pisno dogovorjeno in zavarovano z dodatnimi TOMs.
• Bo skrbel za varnost svojih dostopnih gesel (uporaba 2FA/MFA) in API ključev za dostop do Findes platforme.

Obdelovalec izvaja najvišje industrijske standarde za zaščito podatkov. Standardni TOMs (Technical and Organisational Measures) vključujejo:

5.1 Tehnični ukrepi

• Šifriranje: Vsi podatki so šifrirani med prenosom (TLS 1.3 / HTTPS) in v mirovanju (AES-256 šifriranje podatkovnih baz).
• Nadzor dostopa: Implementiran je strog sistem vlog in dovoljenj (RBAC). Dostop do produkcijskih baz imajo le pooblaščeni senior inženirji preko varnih VPN povezav in MFA.
• Varnostne kopije (Backups): Avtomatizirane dnevne varnostne kopije, shranjene na ločenih geografskih lokacijah, s preverjanjem integritete obnove.
• Nadzor omrežja: Uporaba WAF (Web Application Firewall), DDoS zaščite in sistemov za zaznavanje vdorov (IDS/IPS).

5.2 Organizacijski ukrepi

• Politike gesel: Obvezna uporaba močnih gesel in večfaktorne avtentikacije (MFA) za vse zaposlene pri Obdelovalcu.
• Usposabljanje: Redna letna usposabljanja zaposlenih o varnosti informacij in GDPR skladnosti.
• Clean Desk Policy: Politika čistega namizja in zaklepanja zaslonov v fizičnih prostorih podjetja.
• Upravljanje incidentov: Dokumentiran postopek za hitro odzivanje na varnostne incidente.

Upravljavec daje splošno pisno pooblastilo Obdelovalcu za angažiranje Podobdelovalcev. Obdelovalec trenutno uporablja naslednje ključne Podobdelovalce:

6.1 Sprememba Podobdelovalcev

Obdelovalec bo Upravljavca obvestil o vsaki nameravani spremembi ali dodajanju novih Podobdelovalcev (običajno preko obvestila v nadzorni plošči ali po e-pošti) vsaj 14 dni pred uvedbo spremembe. Upravljavec ima pravico do ugovora iz utemeljenih razlogov, povezanih z varstvom podatkov. Če spora ni mogoče rešiti, ima Upravljavec pravico odstopiti od Glavne pogodbe.

6.2 Odgovornost za Podobdelovalce

Obdelovalec z vsakim Podobdelovalcem sklene zavezujočo pogodbo (DPA), ki Podobdelovalcu nalaga enake ali strožje obveznosti varstva podatkov, kot so določene v tem DPA. Obdelovalec ostaja v celoti odgovoren Upravljavcu za izpolnjevanje obveznosti Podobdelovalcev.

Primarna lokacija obdelave in shranjevanja podatkov je znotraj Evropskega gospodarskega prostora (EEA). Če storitev zahteva prenos podatkov izven EEA (npr. k ponudnikom v ZDA), Obdelovalec zagotavlja, da se prenos izvede izključno na eni od naslednjih pravnih podlag:

• Sklep o ustreznosti: Prenos v države, za katere je Evropska komisija ugotovila, da zagotavljajo ustrezno raven varstva (vključno z EU-US Data Privacy Framework za certificirana podjetja v ZDA).
• Standardne pogodbene klavzule (SCCs): Sklenitev najnovejših SCCs, ki jih je odobrila Evropska komisija, z dodatnimi tehničnimi ukrepi (Transfer Impact Assessment - TIA), če je to potrebno.

V primeru potrjene kršitve varnosti osebnih podatkov (npr. nepooblaščen dostop, izguba, uničenje ali razkritje podatkov), ki jih obdeluje Obdelovalec, bo ta:

• Brez nepotrebnega odlašanja, najkasneje pa v 48 urah po seznanitvi s kršitvijo, pisno obvestil Upravljavca (na e-poštni naslov administratorja ali DPO-ja Upravljavca).
• V obvestilu navedel: naravo kršitve, kategorije in približno število zadevnih posameznikov, verjetne posledice kršitve ter ukrepe, ki so bili ali bodo sprejeti za omilitev škode.
• Nudil vso razumno pomoč Upravljavcu pri izpolnjevanju njegove obveznosti obveščanja nadzornega organa (npr. Informacijskega pooblaščenca) in prizadetih posameznikov v 72-urnem roku, ki ga zahteva GDPR.

Če posameznik (npr. stranka Upravljavca) naslovi zahtevo za uveljavljanje svojih pravic (dostop, popravek, izbris/pozaba, omejitev, prenosljivost) neposredno na Obdelovalca, bo ta:

• Zahtevo nemudoma posredoval Upravljavcu in na njo ne bo samostojno odgovarjal.
• Upravljavcu, v okviru funkcionalnosti IT platforme, omogočil orodja za samostojno izpolnitev zahteve (npr. gumb za izbris profila, izvoz podatkov v JSON/CSV).
• Če orodja ne zadostujejo, bo Obdelovalec na pisno zahtevo Upravljavca tehnično pomagal pri izvedbi zahteve. Morebitno obsežno ročno delo se lahko Upravljavcu zaračuna po veljavnem ceniku IT storitev.

Ker Findes Group v svoje platforme integrira AI funkcionalnosti (npr. avtomatizacija podpore, analiza dokumentov), veljajo naslednja stroga pravila v skladu z Uredbo o umetni inteligenci (EU AI Act):

• Zero-Data Retention za AI učenje: Osebni podatki Upravljavca se nikoli ne uporabljajo za treniranje (fine-tuning) javnih ali temeljnih modelov (Foundation Models) Obdelovalca ali njegovih AI Podobdelovalcev (npr. OpenAI). API klici k AI ponudnikom so konfigurirani tako, da se podatki ne shranjujejo in ne uporabljajo za učenje.
• Transparentnost: Kjer AI sistem neposredno komunicira s končnimi strankami Upravljavca (npr. AI Chatbot), mora biti stranka jasno obveščena, da komunicira s strojem.
• Prepoved visoko tveganih sistemov: Obdelovalec za Upravljavca ne izvaja AI procesov, ki bi spadali v kategorijo "nesprejemljivega tveganja" (npr. socialno točkovanje) ali "visokega tveganja" (npr. avtomatizirano zaposlovanje, biometrična identifikacija na daljavo), razen če je sklenjen poseben aneks z ustrezno oceno tveganja (Fundamental Rights Impact Assessment).

Upravljavec ima pravico preveriti skladnost Obdelovalca s tem DPA in GDPR. Revizija se izvede pod naslednjimi pogoji:

• Upravljavec najprej zahteva dokumentacijo in certifikate Obdelovalca (npr. ISO 27001 poročila, SOC 2, izjave o varnosti). Če ta dokumentacija dokazuje skladnost, dodatna fizična revizija ni potrebna.
• Če dokumentacija ne zadostuje ali v primeru resnega varnostnega incidenta, lahko Upravljavec (ali neodvisni zunanji revizor, ki ni konkurent Obdelovalca) izvede revizijo ob predhodni najavi vsaj 30 dni.
• Revizija se izvede med rednim delovnim časom, na način, ki minimalno moti poslovanje Obdelovalca. Stroške revizije krije Upravljavec, razen če revizija odkrije hude kršitve s strani Obdelovalca.

Po prenehanju veljavnosti Glavne pogodbe ali na izrecno zahtevo Upravljavca bo Obdelovalec:

• Upravljavcu omogočil izvoz vseh Osebnih podatkov v standardnem strojno berljivem formatu (npr. CSV, JSON) v roku 30 dni od prenehanja pogodbe.
• Po izteku 30-dnevnega tranzicijskega obdobja varno in trajno izbrisal vse Osebne podatke Upravljavca iz vseh produkcijskih sistemov.
• Podatki v varnostnih kopijah (backups) bodo samodejno prepisani in uničeni v skladu z rednim ciklom rotacije varnostnih kopij (običajno 90 dni), pri čemer ostajajo polno šifrirani in nedostopni za obdelavo.

Izjema od izbrisa so podatki, ki jih mora Obdelovalec hraniti na podlagi zakonskih obveznosti (npr. davčna in računovodska zakonodaja), vendar se ti podatki hranijo izključno za ta namen.

Odgovornost strank za škodo, ki nastane posameznikom zaradi kršitve GDPR, se presoja v skladu z 82. členom GDPR. V medsebojnem razmerju (B2B) velja naslednje:

• Obdelovalec je odgovoren za škodo le, če ni izpolnil obveznosti iz GDPR, ki so izrecno naložene obdelovalcem, ali če je deloval zunaj oziroma v nasprotju z zakonitimi navodili Upravljavca.
• Skupna odškodninska odgovornost Obdelovalca (vključno s kaznimi nadzornih organov) iz naslova tega DPA je strogo omejena na znesek, ki je določen v Glavni pogodbi kot maksimalna omejitev odgovornosti (Liability Cap). Če to ni določeno, je odgovornost omejena na znesek pristojbin, ki jih je Upravljavec plačal Obdelovalcu v 12 mesecih pred dogodkom, ki je povzročil škodo.
• Nobena stranka ne odgovarja za posredno škodo, izgubo dobička, izgubo podatkov (če je Upravljavec opustil lastne varnostne kopije) ali okrnitev ugleda.

Ta DPA stopi v veljavo hkrati z Glavno pogodbo (ali s potrditvijo Splošnih pogojev) in ostane v veljavi, dokler Obdelovalec hrani ali obdeluje kakršnekoli Osebne podatke v imenu Upravljavca.

V primeru neskladja med določbami tega DPA in določbami Glavne pogodbe, prevladajo določbe tega DPA, v kolikor se nanašajo na varstvo osebnih podatkov in skladnost z GDPR.

Za ta DPA se uporablja pravo, ki je določeno v Glavni pogodbi. Če to ni določeno, se uporablja pravo Republike Slovenije (za Findes Marketing d.o.o.) ali pravo Anglije in Walesa (za Investra International Ltd). Vsi spori, ki izvirajo iz tega DPA, se rešujejo pred pristojnim sodiščem, določenim v Glavni pogodbi.

Obdelovalec si pridržuje pravico do enostranske spremembe tega DPA, če je to potrebno zaradi sprememb zakonodaje (npr. nove smernice EDPB, posodobitve EU AI Act). O bistvenih spremembah bo Upravljavec obveščen vsaj 30 dni vnaprej.