Standardna pogodbena določila (SLA)

Standardna pogodbena določila

Za namene po 3. odstavku člena 28 Splošne uredbe o varstvu podatkov 2016/679 (GDPR)

-----

Uporabnik aplikacije Laboss.app, ki ima kreiran uporabniški račun za potrebe uporabe aplikacije in
posledično obdelave podatkov svojih strank

(upravljavec)

Laboss, optimizacija in digitalizacija laboratorijev in ordinacij, d.o.o.

Ljubljana, Celovška cesta 334

1210 Ljubljana – Šentvid, Slovenija

Matična številka: 9789448000

Davčna številka: SI 35369396

(obdelovalec)

vsak zase ‘stranka’; skupaj ‘stranki’

sta sprejela naslednja pogodbena določila (Določila) z namenom izpolnjevanja zahtev Splošne uredbe o
varstvu podatkov in zagotovitve varstva pravic posameznikov.

-----

1 Preambula

1. Ta pogodbena določila (Določila) opredeljujejo pravice in obveznosti upravljavca in obdelovalca, ko
obdelava osebnih podatkov poteka v imenu in za račun upravljavca.

2. Določila so bila sestavljena z namenom zagotoviti, da sta stranki skladni z določbami 3. odstavka člena 28
Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri
obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES
(Splošna uredba o varstvu podatkov)

3. Obdelovalec bo v okviru zagotavljanja uporabe aplikacije Laboss.app obdeloval osebne podatke v imenu in
za račun upravljavca in skladno z Določili.

4. Določila imajo prednost pred drugimi podobnimi določbami, ki so vsebovane v drugih dogovorih med
strankama.

5. Namen Določil je varovanje pravic posameznikov, ublažitev specifičnih tveganj za varstvo osebnih
podatkov in zagotovitev preglednosti v odnosu med upravljavcem in obdelovalcev glede njunih pravic in
obveznosti.

6. Kadar se upravljavec in obdelovalec opirata le na dele Določil, se ne šteje, da se opirata na Določila v
celoti.

7. Določilom so priložene so 4 priloge, ki so sestavni del Določil.

8. Priloga A vsebuje podrobnosti o obdelavi osebnih podatkov, vključno z namenom in naravo obdelave,
vrstami osebnih podatkov, kategorijami posameznikov, na katere se nanašajo osebni podatki in trajanjem
obdelave.

9. Priloga B vsebuje pogoje upravljavca glede uporabe pod-obdelovalcev s strani obdelovalca in seznam
pod-obdelovalcev, odobrenih s strani upravljavca.

10. Priloga C vsebuje navodila upravljavca glede obdelave osebnih podatkov, minimalni nabor zahtev glede
varnosti podatkov in opis poteka revizij nad delovanjem obdelovalca in pod-obdelovalcev.

11. Priloga D vsebuje določila glede ostalih aktivnosti, ki niso zajete v Določilih.

12. Določila s prilogami hranita obe stranki v pisni obliki, vključno z elektronsko obliko.

13. Določila ne izključujejo odgovornosti strank za obveznosti, ki jih imata po Splošni uredbi o varstvu
podatkov ali drugi zakonodaji.

-----

2 Pravice in obveznosti upravljavca

1. Upravljavec je odgovoren za zagotovitev, da obdelava osebnih podatkov poteka skladno z določbami
Splošne uredbe o varstvu podatkov (glej člen 24 Splošne uredbe o varstvu podatkov), pravnim redom Unije
ali države članice[1], ki ureja varstvo osebnih podatkov, in Določili.

2. Upravljavec ima pravico in obveznost določitve namenov in sredstev obdelave osebnih podatkov.

3. Upravljavec je odgovoren, med drugim, za zagotovitev, da za obdelavo osebnih podatkov, ki jo poverja
obdelovalcu, obstaja veljavna pravna podlaga.

3 Upoštevanje navodil upravljavca

1. Obdelovalec bo obdeloval osebne podatke samo na podlagi dokumentiranih navodil upravljavca, razen če
to od njega zahteva pravo Unije ali države članice, ki velja za obdelovalca. Navodila so podrobneje
opredeljena v prilogah A in C. Upravljavec lahko poda nadaljnja navodila ves čas trajanja obdelave osebnih
podatkov, pri čemer bodo navodila vedno dokumentirana in v pisni obliki, vključno z elektronsko, v skladu z
Določili.

2. V primeru, da obdelovalec meni, da navodila upravljavca kršijo Splošno uredbo o varstvu podatkov ali
določbe prava Unije ali držav članic o varstvu osebnih podatkov, bo o tem nemudoma obvestil upravljavca.

3. Obdelovalec in, kadar obstaja, predstavnik obdelovalca bosta v skladu z določbo drugega odstavka 30.
člena Splošne uredbe o varstvu podatkov vodila evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v
imenu in za račun upravljavca.

4 Zaupnost

1. Obdelovalec bo dostop do osebnih podatkov, ki jih obdeluje v imenu in za račun upravljavca, omogočil
samo tistim osebam pod nadzorom obdelovalca, ki so se zavezale k zaupnosti ali so ustrezno
statusno-pravno zavezane glede zaupnosti in samo glede na izkazano potrebo po dostopu do podatkov.
Seznam oseb, katerim je omogočen dostop do osebnih podatkov, bo redno pregledovan. Na podlagi rednih
pregledov bo dostop do osebnih podatkov ukinjen, če ni več potreben, s čimer osebni podatki zadevnim
osebam ne bodo več dostopni.

2. Na zahtevo upravljavca bo obdelovalec izkazal, da so zadevne osebe pod nadzorom obdelovalca zavezane
k zgoraj navedenim zahtevam glede zaupnosti in imajo dostop do podatkov samo ob obstoju potrebe po
dostopu do osebnih podatkov.

5 Varnost obdelave

1 Sklicevanje na “države članice” se skozi celotna Določila razume kot sklicevanje na “članice EGS”.

-----

1. Člen 32 Splošne uredbe o varstvu podatkov predvideva, da, ob upoštevanju najnovejšega tehnološkega
razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in
svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem
ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje.

2. Upravljavec bo ocenil tveganja za pravice in svoboščine posameznikov, ki jih povzroča obdelava osebnih
podatkov in uveljavil ukrepe za ublažitev teh tveganj. Ti ukrepi, kot je ustrezno, vključujejo naslednje ukrepe:

a. psevdonimizacijo in šifriranje osebnih podatkov;
b. zmožnost zagotoviti stalno zaupnost, celovitost, razpoložljivost in odpornost sistemov in storitev

za obdelavo;
c. zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega
ali tehničnega incidenta;
d. postopek rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in
organizacijskih ukrepov za zagotavljanje varnosti obdelave.

3. Skladno z določbami člena 32 Splošne uredbe o varstvu podatkov bo tudi obdelovalec - neodvisno od
upravljavca - ocenil tveganja za pravice in svoboščine posameznikov, ki izhajajo iz obdelave osebnih
podatkov, ki mu jo je poveril upravljavec, in uveljavil ukrepe za njihovo ublažitev. S tem namenom bo
upravljavec obdelovalcu zagotovil vse potrebne informacije za identifikacijo in oceno takšnih tveganj.

4. Obdelovalec bo pomagal upravljavcu pri zagotavljanju skladnosti z dolžnostmi upravljavca po členu 32
Splošne uredbe o varstvu podatkov, med drugim z zagotavljanjem informacij, ki zadevajo tehnične in
organizacijske ukrepe, ki jih že zagotavlja obdelovalec glede na določbe člena 32 Splošne uredbe o varstvu
podatkov, skupaj z vsemi ostalimi informacijami, ki so potrebne, da lahko upravljavec zagotovi skladnost z
določbami člena 32 Splošne uredbe o varstvu podatkov.

Kolikor bi naknadno – glede na oceno upravljavca – ublažitev identificiranih tveganj zahtevala dodatne
ukrepe, ki jih mora zagotoviti obdelovalec, glede na ukrepe, ki jih obdelovalec že zagotavlja skladno z
zahtevami člena 32 Splošne uredbe o varstvu podatkov, bo upravljavec v prilogi C specificiral dodatne
ukrepe, ki morajo biti zagotovljeni.

-----

6 Uporaba storitev pod-obdelovalcev

1. Obdelovalec bo pri uporabi storitev drugih obdelovalcev (pod-obdelovalcev) spoštoval zahteve, ki jih
določata 2. in 4. odstavek člena 28 Splošne uredbe o varstvu podatkov.

2. Obdelovalec ne bo uporabljal storitev drugih obdelovalcev (pod-obdelovalcev) za izpolnjevanje Določil brez
predhodnega splošnega pisnega dovoljenja upravljavca.

3. Obdelovalec ima splošno dovoljenje upravljavca za uporabo storitev pod-obdelovalcev. Obdelovalec bo o
nameravanih spremembah glede uporabe storitev dodatnih ali drugih pod-obdelovalcev pisno obvestil
upravljavca vsaj 7 dni vnaprej in tako omogočil upravljavcu, da takšnim spremembam nasprotuje pred
uporabo storitev zadevnih pod-obdelovalcev. Daljše obdobje za predhodno obvestilo o zadevnih
pod-obdelovalcih se lahko določi v prilogi B. Seznam že odobrenih pod-obdelovalcev s strani upravljavca se
nahaja v prilogi B.

4. Kadar obdelovalec zaposli drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu
upravljavca, veljajo za tega drugega obdelovalca enake obveznosti varstva podatkov kot so določena v
Določilih in se uveljavijo na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom
države članice, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih
ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz teh Določil in Splošne uredbe o varstvu
podatkov.

Obdelovalcev je odgovoren za zahtevo, da pod-obdelovalec izpolnjuje vsaj obveznosti, ki veljajo za
obdelovalca po teh Določilih in Splošni uredbi o varstvu podatkov.

5. Kopija dogovora o pod-obdelavi in naknadne dopolnitve bodo – na zahtevo upravljavca – predložene
upravljavcu, s čimer se upravljavcu da možnost, da zagotovi, da enake zahteve glede varstva osebnih
podatkov, kot jih določajo Določila, veljajo tudi za pod-obdelovalca. Pogodbenih določil o poslovnih vidikih
pod-obdelave, ki nimajo vpliva na pravno vsebino varstva osebnih podatkov v dogovoru o pod-obdelavi, ni
potrebno predložiti upravljavcu.

6. Obdelovalec bo sprejel klavzulo v korist tretjega s pod-obdelovalcem, po kateri bo v primeru bankrota
obdelovalca upravljavec postal upnik po pogodbi o pod-obdelavi in bo imel pravico do izvršitve pogodbe do
pod-obdelovalca, ki ga je zaposlil obdelovalec, npr. tako da ima upravljavec pravico do podaje navodil
pod-obdelovalcu glede izbrisa ali vračila osebnih podatkov.

7. Če pod-obdelovalec ne bo izpolnil svojih obveznosti glede varstva osebnih podatkov, ostane obdelovalec
polno odgovoren do upravljavca glede izpolnitve obveznosti pod-obdelovalca. Navedeno ne vpliva na
uveljavljanje pravic posameznikov po Splošni uredbi o varstvu podatkov– zlasti glede pravic iz členov 79 in
82 Splošne uredbe o varstvu podatkov – do upravljavca in obdelovalca, vključno s pod-obdelovalcem.

-----

7 Prenos osebnih podatkov v tretje države in mednarodne organizacije

1. Vsak prenos osebnih podatkov v tretje države (t.j. države izven Evropskega gospodarskega prostora) ali
mednarodne organizacije s strani obdelovalca bo potekal izključno na podlagi dokumentiranih navodil
upravljavca in bo vedno upošteval določbe Poglavja V Splošne uredbe o varstvu podatkov.

2. V primeru prenosov osebnih podatkov v tretje države ali mednarodne organizacije, kjer obdelovalec za to
ni dobil navodil upravljavca, zahteva pa jih pravo Unije ali držav članic, ki velja za obdelovalca, bo obdelovalec
seznanil upravljavca z zadevno zakonsko zahtevo pred pričetkom obdelave osebnih podatkov, razen če tista
zakonodaja prepoveduje takšno informiranje na podlagi pomembnih razlogov v javnem interesu.

3. Obdelovalec brez dokumentiranih navodil upravljavca, npr. odobritve upravljavca ali specifične zahteve po
pravu Unije ali države članice, ki velja za obdelovalca, v okviru Določil ne sme:

a. prenašati osebnih podatkov upravljavcu ali obdelovalcu v tretji državi ali mednarodni organizaciji;
b. prenašati osebnih podatkov pod-obdelovalcu v tretji državi ali mednarodni organizaciji;
c. omogočiti obdelavo osebnih podatkov obdelovalcu v tretji državi ali mednarodni organizaciji.

4. Navodila upravljavca glede prenosa osebnih podatkov v tretje države, vključno z, kjer ustrezno, načinom
prenosa po določbah Poglavja V Splošne uredbe o varstvu podatkov, na podlagi katerega temelji prenos
osebnih podatkov, opredeljuje Priloga C.6.

5. Določil se ne sme enačiti s standardnimi pogodbenimi določili v smislu določb 2(c) in 2(d) odstavka člena
46 Splošne uredbe o varstvu podatkov in se stranki na Določila ne moreta zanašati kot na orodje za prenos
podatkov po Poglavju V Splošne uredbe.

8 Pomoč upravljavcu

1. Ob upoštevanju narave obdelave bo obdelovalec pomagal upravljavcu z ustreznimi tehničnimi in
organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve
za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III Splošne uredbe
o varstvu podatkov.

Navedeno pomeni, da bo obdelovalec, kolikor je to mogoče, pomagal upravljavcu pri izpolnjevanju obveznosti
upravljavca, ki se nanašajo na:

a. pravico do informiranja o obdelavi osebnih podatkov, kadar se osebni podatki pridobijo od

posameznika, na katerega se nanašajo osebni podatki
b. pravico do informiranja o obdelavi osebnih podatkov, kadar osebni podatki niso bili

pridobljeni od posameznika, na katerega se nanašajo osebni podatki
c. pravico dostopa posameznika, na katerega se nanašajo osebni podatki
d. pravico do popravka
e. pravico do izbrisa (“pravico do pozabe”)
f. pravico do omejitve obdelave
g. obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo

obdelave
h. pravico do prenosljivosti podatkov
i. pravico do ugovora
j. pravico, da za posameznika, na katerega se nanašajo osebni podatki, ne velja odločitev, ki
temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov.

-----

2. Poleg dolžnosti obdelovalca, da pomaga upravljavcu pri izpolnjevanju obveznosti upravljavca skladno z
Določilom 5.4., bo obdelovalec, upoštevaje naravo obdelave podatkov in informacije, ki so na voljo
obdelovalcu, upravljavcu pomagal pri izpolnjevanju obveznosti glede:

k. obveznosti upravljalca, da brez nepotrebnega odlašanja in, kolikor je to mogoče, najpozneje

v 72 urah po seznanitvi s kršitvijo varnosti podatkov, o kršitvi varnosti podatkov seznani
pristojni nadzorni organ (navedite pristojni nadzorni organ), razen če ni verjetno, da bi kršitev
varstva osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov;
l. obveznosti upravljavca, da brez nepotrebnega odlašanja sporoči posamezniku, na katerega
se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov, kadar je
verjetno, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje za pravice in
svoboščine posameznikov;
m. obveznosti upravljavca, da upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj

obdelave na varstvo osebnih podatkov (oceno učinka v zvezi z varstvom podatkov), kadar bi
vrsta obdelave verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov;
n. obveznosti upravljavca, da se pred obdelavo posvetuje z nadzornim organom
Informacijskega pooblaščenca RS, kadar je iz ocene učinka v zvezi z varstvom podatkov
razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za
ublažitev tveganja.

3. Stranki v prilogi C določita ustrezne tehnične in organizacijske ukrepe, s katerimi mora obdelovalec
pomagati upravljavcu, vključno s predmetom in obsegom potrebne pomoči. Navedena zahteva se nanaša na
obveznosti, ki so predvidene v Določilih 8.1. in 8.2.

9 Prijava kršitev varnosti osebnih podatkov

1. V primeru kršitve varnosti osebnih podatkov bo obdelovalec brez nepotrebnega odlašanja potem, ko se je
seznanil s kršitvijo varnosti, uradno obvestil upravljavca o kršitvi varnosti osebnih podatkov.

2. Kolikor je možno, bo obdelovalec o kršitvi varnosti upravljavca obvestil v 48 urah, potem ko se je seznanil s
kršitvijo varnosti, da bi tako omogočil upravljavcu, da izpolni obveznosti glede uradnega obvestila
nadzornemu organu o kršitvi varstva osebnih podatkov skladno z določbami člena 33 Splošne uredbe o
varstvu podatkov.

3. Obdelovalec bo skladno z Določilom 8(2)(a) pomagal upravljavcu pri obveščanju pristojnega nadzornega
organa o kršitvi varnosti osebnih podatkov, kar pomeni, da je obdelovalec zavezan pridobiti spodaj naštete
informacije, ki morajo biti skladno z določbami člena 33 Splošne uredbe o varstvu podatkov navedene v
obvestilu upravljavca pristojnemu nadzornemu organu:

a. naravo kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število

zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število
zadevnih evidenc osebnih podatkov;
b. verjetne posledice kršitve varnosti osebnih podatkov;
c. ukrepe, ki naj jih upravljavec sprejme ali katerih sprejetje predlaga upravljavcu za
obravnavanje kršitve varnosti osebnih podatkov, pa tudi, kjer ustrezno, ukrepe za ublažitev
morebitnih škodljivih učinkov kršitve.

-----

2. Stranki v Prilogi C.3 določita vse elemente, ki jih mora zagotoviti obdelovalec pri zagotavljanju

pomoči upravljavcu pri obveščanju pristojnega nadzornega organa o kršitvi varnosti osebnih
podatkov.

10 Izbris in vračilo podatkov

1. Obdelovalec se zavezuje, da bo ob prekinitvi zagotavljanja storitev obdelave osebnih podatkov vrnil vse
osebne podatke upravljavcu in izbrisal obstoječe kopije osebnih podatkov, razen če nadaljnjo hrambo
osebnih podatkov od njega zahteva pravo Unije ali države članice.

Obdelovalec se zavezuje, da bo osebne podatke obdeloval izključno za namene in čas trajanja po tej
zakonodaji in ob strogem upoštevanju zadevnih pogojev.

11 Revizije in pregledi

1. Obdelovalec bo dal upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti
iz člena 28 Splošne uredbe o varstvu podatkov in Določil, ter upravljavcu ali drugemu revizorju, ki ga
pooblasti upravljavec, omogočil izvajanje revizij, vključno s pregledi, in pri njih sodeloval.

2. Postopke, ki se nanašajo na izvajanje revizij, vključno s pregledi obdelovalca in pod-obdelovalcev s strani
upravljavca, podrobneje določata prilogi C.7 in C.8.

3. Obdelovalec se zavezuje, da bo nadzornim organom, ki imajo skladno z relevantno zakonodajo dostop do
prostorov upravljavca in obdelovalca in sredstev obdelave, ali predstavnikom, ki delujejo na podlagi
pooblastila takšnega nadzornega organa, na podlagi ustrezne identifikacije omogočil dostop do prostorov in
sredstev obdelave pri obdelovalcu.

12 Dogovor med strankama o ostalih pogojih

1. Stranki se lahko dogovorita o ostalih določilih glede zagotavljanja storitev obdelave osebnih podatkov, npr.
glede odškodninske odgovornosti, dokler takšne določbe niso neposredno ali posredno v nasprotju z Določili
ali ne vplivajo na raven varstva temeljnih pravic in svoboščin, ki jih zagotavlja Splošna uredba o varstvu
podatkov.

13 Začetek in prekinitev

1. Določila stopijo v veljavo z dnem podpisa obeh strank.

2. Obe stranki sta upravičeni zahtevati ponoven dogovor glede Določil, če bi to terjale spremembe
zakonodaje ali če bi se Določila izkazala kot neprimerna.

3. Določila veljajo za celotno obdobje zagotavljanja storitev obdelave osebnih podatkov. Med trajanjem
zagotavljanja storitev obdelave osebnih podatkov se ne morejo prekiniti, razen če se med strankama glede
zagotavljanja storitev obdelave osebnih podatkov sklenejo druga ustrezna Določila.

-----

4. V primeru prekinitve zagotavljanja storitev obdelave osebnih podatkov ter izbrisa ali vračila osebnih
podatkov upravljavcu skladno z Določili 10.1. ter priloge C.4., se lahko Določila prekinejo na podlagi pisnega
obvestila katerekoli od strank.

-----

14 Kontaktne točke pri upravljavcu in obdelovalcu

1. Vsaka stranka bo določila osebo, ki je odgovorna za izvrševanje Določil. Obdelovalec posreduje
[svoje kontaktne informacije v registracijskem postopku na strani: https://www.laboss.app/signup .](https://www.laboss.app/signup)

2. Stranki se lahko medsebojno kontaktirata prek naslednjih kontaktov/kontaktnih točk:

Ime: Luka Kragelj

Funkcija: Direktor

Telefonska številka: +386 40 335 448

E-pošta: luka@laboss.si

3. Stranki se zavezujeta, da se bosta stalno medsebojno obveščali o spremembah
kontaktov/kontaktnih točk.

-----

Priloga A Informacije o obdelavi
Namen obdelave osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca je:

Za izpolnjevanje pogodbenih obveznosti:

- upravljanje dostopov do uporabniških računov upravljalca;
- zagotavljanja delovanja aplikacije in z njo povezanih storitev, upravljanja strank, spletnih plačil
in pošiljanja sporočil;
- nudenje podpore strankam;

Za izpolnjevanje zakonitega interesa:

- izboljšanje in personalizacijo izkušnje upravljalca v aplikaciji Laboss.app;
- nadzorovanje in izboljševanje delovanja aplikacije za potrebe administracije, varnostni in
ukrepov za preprečevanje goljufij;
- za lastne notranje funkcije, upravljanje in korporativno poročanje ter notranje raziskave in
analitiko;
- za uveljavljanje skladnosti s pogoji uporabe aplikacije Laboss.app in drugimi politikami ali
kako drugače v povezavi s pravnimi zahtevki, skladnostjo, regulativnimi in preiskovalnimi
nameni, kot je potrebno (vključno z razkritjem takih informacij v povezavi s pravnim
postopkom ali sodnim postopkom)

Ostalo:

- za statistične obdelave in vodenje analitike uporabe aplikacije Laboss.app;
- obveščanje o morebitnih napakah, popravkih in spremembah aplikacije Laboss.app.

Obdelava osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca se nanaša na (narava
obdelave osebnih podatkov):

Narava obdelave zajema zagotavljanje in vzdrževanje programske opreme kot storitve (SaaS) z
imenom Laboss.app, ki je namenjena celovitemu upravljanju poslovanja zobotehničnega laboratorija.
Obdelava vključuje zbiranje, vnos, shranjevanje, organiziranje, strukturiranje, vpogled, uporabo,
analiziranje in izpisovanje osebnih podatkov za namene, ki jih določi upravljavec. Konkretne dejavnosti
obdelave vključujejo:

i) Centralizirano vodenje in hramba zdravstvene dokumentacije pacientov

To vključuje shranjevanje delovnih nalogov, zgodovine izdelave medicinskih pripomočkov (npr. protez,
implantatov), fotografij, 3D skenov in druge relevantne zdravstvene dokumentacije, ki je potrebna za
izdelavo zobnih nadomestkov po meri.

ii) Upravljanje poslovnih procesov

Vodenje in razporejanje delovnih nalog znotraj laboratorija, sledenje posameznim fazam izdelave
medicinskih pripomočkov ter beleženje aktivnosti, povezanih s pacienti in naročniki (zobnimi
ordinacijami).

iii) Upravljanje poslovnih stikov

Evidentiranje in upravljanje komunikacije ter poslovnih aktivnosti z naročniki (zobne ordinacije),
dobavitelji materialov, podizvajalci in serviserji tehnične opreme.

iv) Finančno poslovanje

-----

Izdajanje računov, dobavnic, predračunov in drugih finančnih dokumentov, ki vsebujejo osebne podatke
naročnikov ali pacientov (v primeru neposrednega plačila).

v) Analitika in poročanje

Izvajanje analiz nad anonimiziranimi ali psevdonimiziranimi podatki za namene pregleda uspešnosti
poslovanja, stroškov in učinkovitosti, pri čemer se osebni podatki uporabljajo le v agregirani obliki,
razen če upravljavec izrecno zahteva drugače za interne namene.

vi) Tehnično vzdrževanje in podpora

Izvajanje varnostnega kopiranja podatkov (backup), zagotavljanje neprekinjenega delovanja sistema,
odpravljanje napak in nudenje tehnične podpore upravljavcu, kar lahko vključuje dostop do osebnih
podatkov s strani pooblaščenega osebja obdelovalca.

Obdelava osebnih podatkov vključuje naslednje vrste osebnih podatkov:

Podatki o pacientih (posebne vrste osebnih podatkov v skladu z 9. členom GDPR):

- Osnovni identifikacijski podatki (ime in priimek, datum rojstva, EMŠO (če je to nujno potrebno
za enolično identifikacijo v zdravstvenem sistemu), spol, kontaktni podatki (naslov, telefonska
številka, e-poštni naslov));

- Zdravstveni podatki (podatki o zdravstvenem stanju, zlasti o stanju zobovja (zobni status),
anamneza, podatki o alergijah, rentgenski posnetki, intraoralni in ekstraoralni 3D skeni,
fotografije obraza in zobovja, podatki o naročenih in izdelanih medicinskih pripomočkih (vrsta
implantata, material, barva, oblika), načrti zdravljenja in delovni nalogi, ki jih posreduje
zobozdravnik);

- Identifikacijske številke (interna številka pacienta ali številka delovnega naloga).

- Podatki o kontaktnih osebah pri poslovnih partnerjih (naročniki, dobavitelji, podizvajalci):
```
o poslovni identifikacijski podatki (ime in priimek, delovno mesto ali funkcija, ime in

```
naslov organizacije (npr. zobne ordinacije), davčna številka in matična številka (v
primeru samostojnih podjetnikov));

o poslovni kontaktni podatki (službeni e-poštni naslov, službena telefonska številka);

- Podatki o zaposlenih pri upravljavcu (uporabnikih aplikacije):

o identifikacijski podatki (ime in priimek, uporabniško ime za dostop do aplikacije,
službeni e-poštni naslov);

o podatki o uporabi sistema (dnevniki dostopov (audit logs), podatki o opravljenih
nalogah in vnesenih podatkih za zagotavljanje sledljivosti in varnosti).

Obdelava se nanaša na naslednje kategorije posameznikov:

- Pacienti (fizične osebe, za katere upravljavec (zobotehnični laboratorij) izdeluje medicinske
pripomočke po meri na podlagi naročila s strani zobozdravstvene ordinacije);

-----

- Zaposleni ali pogodbeni sodelavci pri poslovnih partnerjih (fizične osebe (npr. zobozdravniki,
asistenti, administrativno osebje v ordinacijah, komercialisti pri dobaviteljih), ki komunicirajo z
upravljavcem v okviru poslovnega sodelovanja);

- Zaposleni ali pogodbeni sodelavci upravljavca (fizične osebe (npr. zobotehniki, administrativno
osebje), ki so pooblaščene za uporabo aplikacije Laboss.app v imenu upravljavca).

Obdelava osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca se lahko začne z
dnem pričetka izvajanja Določil. Obdelava bo trajala:

Obdelava osebnih podatkov bo trajala ves čas veljavnosti glavne pogodbe o uporabi programske
opreme Laboss.app med upravljavcem in obdelovalcem. Po prenehanju veljavnosti pogodbe (ne glede
na razlog prenehanja) mora obdelovalec v roku, določenem v glavni pogodbi (npr. 30 dni), po navodilu
upravljavca vse osebne podatke, ki jih je obdeloval v njegovem imenu, bodisi izbrisati bodisi vrniti
upravljavcu v strukturirani, splošno uporabljani in strojno berljivi obliki. Obdelovalec mora izbrisati tudi
vse obstoječe kopije, razen če zakonodaja Evropske unije ali Republike Slovenije zahteva nadaljnjo
hrambo teh podatkov. Ne glede na prenehanje pogodbe je upravljavec dolžan spoštovati zakonsko
določene roke hrambe za določene vrste podatkov. Na primer, zdravstvena dokumentacija se mora
hraniti v skladu z veljavnimi predpisi, kot je Zakon o zbirkah podatkov s področja zdravstvenega
varstva (ZZPPZ) in na njegovi podlagi izdana Odredba o določitvi vrste in rokov hrambe zdravstvene
dokumentacije v Centralnem registru podatkov o pacientih. Čeprav se ta odredba neposredno nanaša
na CRPP, določa splošna načela in roke, ki so relevantni tudi za hrambo zdravstvene dokumentacije pri
izvajalcih zdravstvene dejavnosti. Upravljavec je tisti, ki mora obdelovalcu sporočiti, kateri podatki so
predmet daljše hrambe.

-----

Priloga B Odobreni pod-obdelovalci

B.1 Odobreni pod-obdelovalci
S pričetkom izvajanja Določil upravljavec odobri uporabo storitev naslednjih pod-obdelovalcev:

1. Google Ireland Limited (registrska številka: 368047), s sedežem Gordon House, Barrow Street,

Dublin 4, Irska; politike zasebnosti družbe so na voljo tu:
[https://business.safety.google/privacy/](https://business.safety.google/privacy/)

Google Ireland Limited ponuja različne storitve v oblaku, analitiko in oglaševalske storitve ter obdeluje
podatke, ki vključujejo:

- Imena in priimke strank
- E-poštne naslove
- Telefonske številke
- Podatke o uporabi storitev
- Podatke za analitiko in sledenje

2. Facebook Ireland Limited, s sedežem 4 Grand Canal Square, Grand Canal Harbour, Dublin 2,

D02 X525, Irska; politika zasebnosti družbe je na voljo tu:
[https://www.facebook.com/privacy/policy?section_id=0-WhatIsThePrivacy](https://www.facebook.com/privacy/policy?section_id=0-WhatIsThePrivacy)

Facebook Ireland Limited ponuja oglaševalske in analitične storitve ter obdeluje podatke, ki vključujejo:

- Podatke za ciljno usmerjeno oglaševanje (ime, priimek, e-poštni naslov)
- Podatke o uporabniških interakcijah z oglasi
- Analitične podatke za izboljšanje oglaševalskih kampanj.

3. LinkedIn Ireland Unlimited Company, s sedežem Wilton Place, Dublin 2, Ireland, politika

[zasebnosti družbe je na voljo tu: https://www.linkedin.com/legal/privacy-policy](https://www.linkedin.com/legal/privacy-policy)

LinkedIn Ireland Unlimited Company ponuja oglaševalske in analitične storitve ter obdeluje podatke, ki
vključujejo:

- Podatke za ciljno usmerjeno oglaševanje (ime, priimek, e-poštni naslov)
- Podatke o uporabniških interakcijah z oglasi
- Analitične podatke za izboljšanje oglaševalskih kampanj.

4. Instagram, s sedežem 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, D02 X525, Irska,

politika zasebnosti družbe je na voljo tu:
[https://privacycenter.instagram.com/policy/?entry_point=ig_help_center_data_policy_redirect](https://privacycenter.instagram.com/policy/?entry_point=ig_help_center_data_policy_redirect)

Instagram ponuja oglaševalske in analitične storitve ter obdeluje podatke, ki vključujejo:

- Podatke za ciljno usmerjeno oglaševanje (ime, priimek, e-poštni naslov)
- Podatke o uporabniških interakcijah z oglasi
- Analitične podatke za izboljšanje oglaševalskih kampanj.

5. Webflow, Inc., s sedežem 398 11th Street, Floor 2, San Francisco, CA 94103; politika

zasebnosti družbe za območje EU, UK in EEA je na voljo tu:
[https://webflow.com/legal/eu-privacy-policy](https://webflow.com/legal/eu-privacy-policy)

Webflow se uporablja za upravljanje in gostovanje spletnih strani ter obrazcev za pridobivanje
potencialnih strank (lead generation).
Webflow obdeluje podatke, ki vključujejo:

- Podatke iz kontaktnih ali prijavnih obrazcev (ime, priimek, e-poštni naslov, podjetje, telefonska
številka, sporočilo)
- Tehnične podatke o uporabi spletne strani (IP naslov, brskalnik, piškotki)
- Podatke za analitične namene in izboljšanje uporabniške izkušnje

-----

6. Xano, Inc., s sedežem 21600 Oxnard Street, Suite 910, Woodland Hills, California 91367;

[politika zasebnosti družbe je na voljo tu: https://legal.xano.com/privacy-notice](https://legal.xano.com/privacy-notice)

Xano zagotavlja storitve za upravljanje zalednih sistemov (backend) in podatkovnih baz, ki se
uporabljajo za delovanje platfrome in shranjevanje uporabniških podatkov.
Xano obdeluje podatke, ki vključujejo:

- Osnovne podatke uporabnikov (ime, priimek, e-poštni naslov, tel. št.)
- Podatke za prijavo in avtentikacijo
- Tehnične podatke (IP naslov, časovni žigi, indetifikatorji sej)
- Podatke o uporabi aplikacije in oddanih obrazcih
- Podatke o registriranem podjetju uporabnika (naslov, ime podjetja, matična in davčna št.,
IBAN)

7. ActiveCampaign, LLC, s sedežem1 N Dearborn St, 5th Floor, Chicago, IL 60602, ZDA; politika

zasebnosti družbe za območje EU je na voljo tu:
[https://postmarkapp.com/eu-privacy#security-and-privacy](https://postmarkapp.com/eu-privacy#security-and-privacy)

ActiveCampaign (prek storitve Postmark) se uporablja za pošiljanje transakcijskih e-poštnih sporočil
uporabnikom (npr. potrditvena sporočila, obvestila o računu, ponastavitve gesla).
Postmark obdeluje podatke, ki vključujejo:

- E-poštni naslov prejemnika
- Ime in priimek (če je na voljo)
- Vsebino e-poštnih sporočil in čas pošiljanja
- Podatke o dostavi in odpiranju sporočil (za tehnične namene)

8. Stripe, Inc., s sedežem 354 Oyster Point Boulevard, South San Francisco, California, ZDA;

[politika zasebnosti družbe je na voljo tu: https://stripe.com/en-si/privacy](https://stripe.com/en-si/privacy)

Stripe se uporablja za obdelavo plačil in upravljanje naročnin uporabnikov.
Stripe obdeluje podatke, ki vključujejo:

- Ime in priimek imetnika računa
- E-poštni naslov
- Podatke o plačilu (številka kartice, datum poteka, CVC – šifrirano)
- Naslov za obračun (če je naveden)
- Identifikatorje transakcij in zneske plačil

9. Pipedrive, LTD, s sedežem 530 Fifth Avenue, 8th floor, Suite 802, New York, NY 10036, United

States; politka zasenosti družbe je na voljo tu: https://www.pipedrive.com/en/privacy

Pipedrive se uporablja kot sistem za upravljanje odnosov s strankami (CRM) in spremljanje prodajnih
priložnosti.
Pipedrive obdeluje podatke, ki vključujejo:

- Ime, priimek, delovno mesto in podjetje
- E-poštni naslov in telefonsko številko
- Zgodovino komunikacije s stranko (e-pošta, zapiski, interakcije)

10. Space Invoices, Inc., s sedežem družbe De Anza Blvd, San Mateo, CA 94402, USA; politika

[zasebnosti družbe je na voljo tu: https://spaceinvoices.com/privacy-policy](https://spaceinvoices.com/privacy-policy)

-----

Space Invoices zagotavlja storitve za upravljanje računovodskih dokumentov v okviru modula Modul
_Finance, kjer uporabniki lahko ustvarjajo račune, dobavnice in druge finančne dokumente._
Space Invoices obdeluje podatke, ki vključujejo:

- Podatke o podjetju (ime podjetja, naslov sedeža, davčna številka, matična številka)
- Bančne podatke (IBAN, podatki o banki)
- Kontaktne podatke odgovorne osebe (ime, priimek, e-poštni naslov)
- Podatke o izdanih in prejetih dokumentih (računi, dobavnice, zneski, datumi, valute)

Upravljavec z začetkom izvajanja Določil odobri uporabo storitev zgoraj navedenih pod-obdelovalcev
za obdelavo osebnih podatkov za obdelavo, opisano za to stranko. Obdelovalec brez eksplicitnega
pisnega dovoljenja upravljavca ni upravičen do uporabe pod-obdelovalcev za drugačno obdelavo
osebnih podatkov, kot je obdelava, ki je dogovorjena, ali do uporabe storitev drugih pod-obdelovalcev
za opisane obdelave.

-----

Priloga C Navodilo glede uporabe osebnih podatkov

C.1 Predmet navodila glede obdelave osebnih podatkov

Obdelava osebnih podatkov s strani obdelovalca v imenu in za račun upravljavca vključuje nudenje in
vzdrževanje programske opreme kot storitve (SaaS) Laboss.app, ki je namenjena upravljanju in
vodenju zobotehničnega laboratorija.

C.2 Varnost obdelave

Raven varnosti upošteva:

Upoštevaje, da obdelava osebnih podatkov vključuje velike količine osebnih podatkov, med katerimi so
tudi podatki o zdravstvenem stanju pacientov, ki se obdelujejo skladno z določbami 9. člena Splošne
uredbe o varstvu podatkov o »posebnih vrstah osebnih podatkov«, mora biti zagotovljena visoka raven
varnosti. Obdelava tovrstnih podatkov sodi med posebne obdelave po 23. členu Zakona o varstvu
osebnih podatkov (ZVOP-2), kar zahteva smiselno uporabo ukrepov za obvladovanje tveganj, kot
veljajo za bistvene subjekte po zakonu, ki ureja informacijsko varnost.

Obdelovalec je upravičen in zavezan za sprejemanje odločitev o tehničnih in organizacijskih ukrepih za
varnost podatkov, ki se izvajajo za zagotovitev potrebne (in dogovorjene) ravni varnosti podatkov. Ne
glede na navedeno bo obdelovalec v vsakem primeru zagotovil najmanj naslednje ukrepe, ki so
dogovorjeni z upravljavcem:

- Ukrepi za psevdonimizacijo in šifriranje osebnih podatkov:
```
o Vsi osebni podatki se med prenosom preko javnih omrežij (internet) šifrirajo z

```
uporabo močnih in preverjenih kriptografskih protokolov (npr. TLS 1.2 ali novejši).

o Vsi osebni podatki, shranjeni v podatkovnih bazah obdelovalca (»at rest«), so šifrirani
z uporabo industrijsko priznanih standardov šifriranja (npr. AES-256).
```
o Kjer je to smiselno, zlasti v analitičnem modulu, se za obdelavo podatkov uporablja

```
psevdonimizacija, tako da neposredna identifikacija posameznika ni mogoča brez
dodatnih informacij.

- Ukrepi za zagotavljanje stalne zaupnosti, celovitosti, razpoložljivosti in odpornosti sistemov in
storitev za obdelavo:

o Vzpostavljena je visoko razpoložljiva in redundantna strežniška infrastruktura, ki
zmanjšuje tveganje izpada storitve.
```
o Uporabljajo se sistemi za preprečevanje vdorov (IPS/IDS) in požarni zidovi za zaščito

```
omrežja.
```
o Vzpostavljen je sistem nadzora nad delovanjem sistema, ki omogoča hitro odkrivanje

```
in odzivanje na anomalije in varnostne grožnje.
```
o Dostop do osebnih podatkov imajo le pooblaščene osebe obdelovalca na podlagi

```
načela "need-to-know" (potreba po seznanitvi). Vsi zaposleni so zavezani k varovanju
zaupnosti.

-----

- Ukrepi za zagotavljanje zmožnosti za pravočasno povrnitev razpoložljivosti in dostop do
osebnih podatkov v primeru fizičnega ali tehničnega incidenta:
```
o Izvajajo se redne (vsaj dnevne) varnostne kopije vseh podatkov na geografsko ločeno

```
lokacijo.
```
o Vzpostavljeni so postopki za obnovo podatkov iz varnostnih kopij, ki se redno

```
testirajo, da se zagotovi njihova učinkovitost in hitrost.

- Ukrepi za postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in
organizacijskih ukrepov za zagotavljanje varnosti obdelave:

o Izvajajo se redni varnostni pregledi in testiranja na ranljivosti aplikacije in
infrastrukture.

o Po potrebi oziroma vsaj enkrat letno se izvedejo zunanji penetracijski testi s strani
neodvisnega izvajalca.
```
o Učinkovitost varnostnih ukrepov se redno preverja z internimi in zunanjimi revizijami.

```
- Ukrepi za preprečevanje nepooblaščenega dostopa do osebnih podatkov:
```
o Vzpostavljen je sistem upravljanja vlog in pravic (Role-Based Access Control - RBAC),

```
ki uporabnikom omogoča dostop le do tistih podatkov, ki so nujni za opravljanje
njihovih nalog.
```
o Za dostop do sistema se zahteva uporaba močnih gesel in, opcijsko, dvofaktorska

```
avtentikacija (2FA).
```
o Vsak poskus neuspešne prijave se beleži in po večkratnih neuspešnih poskusih se

```
dostop začasno blokira.

- Ukrepi za varnost podatkov med prenosom:

o Celotna komunikacija med odjemalcem (brskalnikom uporabnika) in strežniki
obdelovalca poteka preko šifrirane HTTPS povezave z uporabo veljavnih TLS
protokolov.

- Ukrepi za varnost programske opreme, ki se uporablja za obdelavo osebnih podatkov:
```
o Razvoj programske opreme poteka v skladu z načeli varnega razvoja (Secure Software

```
Development Lifecycle - SSDLC), vključno z rednimi pregledi kode in testiranjem
varnosti.

o Sistemska in aplikativna programska oprema se redno posodabljata z varnostnimi
popravki.

- Ukrepi za varnost podatkov v času hrambe:

o Podatki se hranijo v varnih podatkovnih centrih znotraj EU, ki izpolnjujejo visoke
varnostne standarde (npr. ISO 27001).
```
o Podatkovne baze so zaščitene z močnimi avtentikacijskimi mehanizmi in omrežnimi

```
omejitvami.

-----

- Ukrepi za varnost prostorov, opreme in sistemske programske opreme za obdelavo osebnih
podatkov:
```
o Fizični dostop do strežnikov in druge opreme je strogo nadzorovan in omejen na

```
pooblaščeno osebje. Prostori so varovani z video nadzorom, alarmnimi sistemi in
kontrolo pristopa.

- Ukrepi za uporabo oddaljenega dostopa/dela od doma:
```
o Oddaljeni dostop do produkcijskega okolja s strani zaposlenih obdelovalca je mogoč

```
le preko varne in šifrirane povezave (VPN) z uporabo večfaktorske avtentikacije.

- Ukrepi za sledljivost obdelave:
```
o V skladu z 22. členom ZVOP-2 se vodi dnevnik obdelave (revizijska sled), ki beleži

```
ključne dogodke, kot so vpogled, spreminjanje, razkritje in izbris osebnih podatkov.
Dnevnik vsebuje podatke o vrsti dejanja, datumu in času obdelave ter identifikacijo
osebe, ki je dejanje izvedla.

C.2 Pomoč upravljavcu

Obdelovalec bo v obsegu pomoči, kot je opredeljena spodaj, kolikor je mogoče pomagal upravljavcu
skladno z določbami členov 8.1 in 8.2 z uveljavitvijo naslednjih tehničnih in organizacijskih ukrepov:

- Obseg pomoči, ki ga zagotavlja obdelovalec
```
o Obdelovalec bo upravljavcu pomagal pri izpolnjevanju njegovih obveznosti, ki izhajajo

```
iz pravic posameznikov (poglavje III GDPR), obveščanja o kršitvah varstva osebnih
podatkov (člena 33 in 34 GDPR) ter izvajanja ocen učinka in predhodnih posvetovanj
(člena 35 in 36 GDPR).

- Specifični tehnični in organizacijski ukrepi
```
o Pravice posameznikov - Aplikacija Laboss.app bo vključevala funkcionalnosti, ki

```
upravljavcu omogočajo izvoz podatkov posameznega pacienta v strukturirani in
strojno berljivi obliki (pravica do dostopa in prenosljivosti), urejanje in popravljanje
podatkov (pravica do popravka) ter brisanje podatkov (pravica do izbrisa).
```
o Obvestilo o kršitvi varnosti osebnih podatkov - Obdelovalec bo upravljavca o vsaki

```
kršitvi varstva osebnih podatkov obvestil brez nepotrebnega odlašanja, najkasneje pa
v 48 urah po tem, ko je zanjo izvedel.

- Vsebina obvestila o kršitvi

Obvestilo bo vsebovalo vsaj:
```
o Opis narave kršitve, vključno s kategorijami in približnim številom zadevnih

```
posameznikov ter kategorijami in približnim številom zadevnih evidenc osebnih
podatkov.
```
o Ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne

```
točke, pri kateri je mogoče dobiti več informacij.

-----

o Opis verjetnih posledic kršitve.
```
o Opis ukrepov, ki jih je obdelovalec sprejel ali predlaga za odpravo kršitve, vključno z

```
ukrepi za ublažitev njenih morebitnih škodljivih učinkov.

- Pomoč pri obveščanju posameznikov - Obdelovalec bo upravljavcu na njegovo zahtevo
posredoval vse potrebne informacije, s katerimi razpolaga, da bo upravljavec lahko izpolnil
svojo obveznost obveščanja posameznikov o kršitvi.

- Pomoč pri ocenah učinka (DPIA) - Obdelovalec bo upravljavcu na njegovo zahtevo zagotovil
vse potrebne informacije o delovanju aplikacije Laboss.app in izvedenih varnostnih ukrepih, ki
jih upravljavec potrebuje za izvedbo ocene učinka v zvezi z varstvom podatkov, kot to določata
35. člen GDPR in 24. člen ZVOP-2.

C.3 Roki hrambe podatkov/postopki izbrisa podatkov

Osebni podatki se s strani obdelovalca obdelujejo za čas trajanja pogodbe o uporabi aplikacije
Laboss.app. Obdelovalec sam ne določa rokov hrambe, temveč upravljavcu znotraj aplikacije
omogoča, da sam upravlja s podatki in jih briše v skladu s svojimi zakonskimi obveznostmi in internimi
politikami.

S prekinitvijo zagotavljanja storitev obdelave osebnih podatkov bo obdelovalec bodisi izbrisal bodisi
vrnil osebne podatke skladno z členom 10.1, razen če upravljavec – po podpisu pogodbe – spremeni
svojo prvotno odločitev. Takšna sprememba mora biti dokumentirana in hranjena v pisni obliki,
vključno z elektronsko obliko, v skladu z Določili.

C.4 Lokacija obdelave podatkov

Obdelava osebnih podatkov skladno z Določili ne sme potekati na drugih lokacijah, razen na lokacijah,
navedenih v Prilogi B te pogodbe.

C.5 Navodilo glede prenosa osebnih podatkov v tretje države

Obdelovalec se zavezuje, da osebnih podatkov upravljavca ne bo prenašal v tretje države (izven
EU/EGP) ali mednarodne organizacije brez predhodnega izrecnega in dokumentiranega navodila
upravljavca.

V primeru, da upravljavec odobri tak prenos, mora biti ta izveden v skladu z določbami poglavja V
Splošne uredbe o varstvu podatkov in 10. poglavja ZVOP-2. To pomeni, da mora biti zagotovljena
ustrezna pravna podlaga za prenos, kot je sklep o ustreznosti, standardne pogodbene klavzule (SCC),
zavezujoča poslovna pravila (BCR) ali drugo ustrezno varovalo.

Kolikor upravljavec v Določilih ali naknadno ne poda dokumentiranih navodil glede prenosa osebnih
podatkov v tretje države, obdelovalec ni upravičen do prenosa osebnih podatkov v tretje države v
okviru Določil.

-----

C.6 Postopki izvajanja pregledov s stani upravljavca, vključno z izvajanjem pregledov, nad
obdelavami osebnih podatkov pri obdelovalcu

Obdelovalec bo po potrebi in na željo upravljalca subjekt pregleda s strani neodvisne tretje osebe,
pooblaščene s strani upravljavca, glede skladnosti dejanj obdelovalca z določbami Splošne uredbe o
varstvu podatkov, relevantne zakonodaje Unije ali države članice glede varstva osebnih podatkov ter
Določil. Stroške pregleda krije upravljalec. Ta je dolžan obdelovalcu javiti termin za pregled vsaj 30 dni
pred dejansko izvedbo. Revizor kot neodvisna tretja stranka pripravi poročilo o pregledu. Stranki se
dogovorita, da se lahko naslednje vrste poročila o pregledu uporabijo v skladu z Določili: potrjeno
poročilo o pregledu. Poročilo o pregledu se brez nepotrebnega odlašanja predloži upravljavcu.
Upravljavec lahko oporeka obsegu in/ali metodologiji poročila in lahko v takšnem primeru zahteva
novo revizijo/pregled na podlagi revidiranega obsega in/ali drugačne metodologije. Na podlagi
rezultatov revizije/pregleda lahko upravljavec zahteve nadaljnje ukrepe, ki so potrebni za zagotovitev
skladnosti s Splošno uredbo o varstvu podatkov, relevantno zakonodajo Unije ali države članice glede
varstva osebnih podatkov ter Določili. Obdelovalec ali predstavnik obdelovalca ima poleg navedenega
pravico do pregleda, vključno s pregledom na fizični lokaciji, prostorov, kjer poteka obdelava s strani
obdelovalca, vključno s sistemi, ki se uporabljajo in so v povezavi z zadevno obdelavo osebnih
podatkov. Takšen pregled se izvede na podlagi ocene upravljavca.

-----

Priloga D Dogovor med strankama o drugih zadevah

-----

‍