Pogodba o obdelavi osebnih podatkov (DPA)

⚠️ OSNUTEK — ni pravno veljavno. Pred objavo obvezna pravna preverba. Zadnja posodobitev: [VNESI DATUM]

Stranki pogodbe

Upravljavec: [IME IN PRIIMEK / FIRMA], [NASLOV], [DAVČNA ŠT.] (v nadaljevanju: Upravljavec)

Obdelovalec: Key Key s.p., [VNESI NASLOV], Slovenija (v nadaljevanju: Obdelovalec)

1. Predmet in namen

Ta pogodba ureja obdelavo osebnih podatkov, ki jo Obdelovalec izvaja v imenu in po navodilih Upravljavca v okviru storitve TradeCraft AI, vključno z:

  • posnetki in transkripcijami telefonskih klicev;
  • podatki o strankah (kontakti, povpraševanja);
  • generiranimi poslovnimi dokumenti (ponudbe, predračuni).

2. Vrsta podatkov in kategorije posameznikov

Vrsta podatkov: kontaktni podatki, glasovni posnetki, besedila, metapodatki klicev.

Kategorije posameznikov: stranke in klicatelji Upravljavca.

3. Obveznosti Obdelovalca

Obdelovalec se zavezuje, da bo:

  • osebne podatke obdeloval izključno po dokumentiranih navodilih Upravljavca;
  • zagotovil zaupnost obdelave;
  • sprejel vse tehnične in organizacijske ukrepe v skladu s čl. 32 GDPR;
  • vključil samo tiste podizvajalce (pod-obdelovalce), s katerimi ima sklenjeno enakovredno pogodbo;
  • po prenehanju storitve izbrisal ali vrnil vse osebne podatke;
  • Upravljavcu pomagal pri izpolnjevanju pravic posameznikov.

4. Pod-obdelovalci

Upravljavec daje splošno pisno dovoljenje za vključitev pod-obdelovalcev. Seznam aktualnih pod-obdelovalcev je dostopen na zahtevo. Obdelovalec obvesti Upravljavca o vsakršni spremembi z vsaj 14-dnevnim odpovednim rokom.

5. Varnostni ukrepi

Obdelovalec vzdržuje naslednje ukrepe:

  • Šifriranje podatkov v prenosu (TLS 1.3) in mirovanju (AES-256)
  • Dostop do podatkov omejen na pooblaščene osebe
  • Redne varnostne preglede in teste
  • Postopek za obvladovanje kršitev varnosti podatkov

6. Kršitve varnosti

V primeru kršitve varnosti osebnih podatkov Obdelovalec obvesti Upravljavca brez nepotrebnega odlašanja in v roku 48 ur od ugotovitve, da je prišlo do kršitve.

7. Prenos v tretje države

Vsi podatki se primarno obdelujejo v EU. Izjema je Anthropic (Claude AI), s katerim ima Obdelovalec sklenjeno pogodbo DPA, ki zagotavlja ustrezno raven zaščite (standardne pogodbene klavzule EU).

8. Trajanje

Ta pogodba velja za čas trajanja naročniške pogodbe za TradeCraft AI. Po prenehanju se vsi podatki izbrisejo v roku 30 dni, razen kjer zakonska obveznost zahteva daljšo hrambo.

9. Veljavno pravo

Za to pogodbo velja slovensko pravo in GDPR (EU) 2016/679.

Datum sklenitve: [DATUM OB REGISTRACIJI — samodejno] Key Key s.p. · [VNESI NASLOV]