Ustvarite račun
Ustvarite račun

Pogodba o obdelavi podatkov

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Ta dokument je bil preveden za vašo priročnost. V primeru neskladja velja angleška različica.

Ta pogodba o obdelavi podatkov ("DPA") je sestavni del pogodbe med stranko ("Upravljavec") in Skiwo AS, ki upravlja platformo Report Securely ("Obdelovalec"), za zagotavljanje storitev prijave nepravilnosti in varnega poročanja ("Storitev").

Ta DPA je sklenjena v skladu z zahtevami člena 28 Splošne uredbe o varstvu podatkov (EU) 2016/679 ("GDPR") in ureja obdelavo osebnih podatkov s strani Obdelovalca v imenu Upravljavca.

1. Opredelitev pojmov

Izrazi, uporabljeni v tej DPA, imajo enak pomen kot v GDPR, razen če ni drugače določeno. "Osebni podatki" pomenijo vse osebne podatke, ki jih Obdelovalec obdeluje v imenu Upravljavca v povezavi s Storitvijo. "Podobdelovalec" pomeni katerokoli tretjo osebo, ki jo Obdelovalec angažira za obdelavo osebnih podatkov v imenu Upravljavca.

2. Obseg in namen obdelave

Obdelovalec obdeluje osebne podatke izključno za namen zagotavljanja Storitve Upravljavcu, kot je opisano v glavni storitveni pogodbi in tej DPA.

Kategorije posameznikov, na katere se nanašajo podatki, vključujejo: prijavitelje (prijavitelje nepravilnosti), osebe, omenjene v prijavah, upravljavce primerov in pooblaščene uporabnike v organizaciji Upravljavca. Vrste obdelanih osebnih podatkov lahko vključujejo: imena, kontaktne podatke, vsebino prijav, komunikacijo med prijavitelji in upravljavci primerov, metapodatke primerov in revizijske dnevnike.

Trajanje obdelave ustreza trajanju glavne storitvene pogodbe, skupaj z morebitnim obdobjem hrambe, ki ga zahteva veljavna zakonodaja ali je dogovorjeno med strankama.

3. Obveznosti obdelovalca

Obdelovalec mora:

  • Obdelovati osebne podatke samo na podlagi dokumentiranih navodil upravljavca, razen če je to zahtevano z veljavno zakonodajo
  • Zagotoviti, da so osebe, pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti
  • Izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki je primerna glede na tveganje
  • Ne angažirati drugega obdelovalca (podobdelovalca) brez predhodnega pisnega dovoljenja upravljavca
  • Pomagati upravljavcu pri odgovarjanju na zahteve posameznikov, na katere se nanašajo osebni podatki, v skladu s členi 15–22 GDPR
  • Pomagati upravljavcu pri zagotavljanju skladnosti s členi 32–36 GDPR (varnost, obveščanje o kršitvah, ocene učinka)
  • Po izbiri upravljavca izbrisati ali vrniti vse osebne podatke ob prenehanju storitve, razen če je hramba zahtevana z veljavno zakonodajo
  • Upravljavcu omogočiti dostop do vseh informacij, potrebnih za dokazovanje skladnosti z obveznostmi iz tega DPA in člena 28 GDPR

4. Varnostni ukrepi

Obdelovalec izvaja in vzdržuje naslednje tehnične in organizacijske varnostne ukrepe:

  • Šifriranje podatkov med prenosom (TLS 1.2 ali višje) in v mirovanju (AES-256)
  • Nadzor dostopa na podlagi vlog z načelom najmanjših privilegijev
  • Revizijsko beleženje vseh pomembnih dejanj znotraj platforme
  • Redni varnostni testi in ocene ranljivosti
  • Varne prakse razvoja programske opreme v skladu s smernicami OWASP
  • Avtomatizirane varnostne kopije s šifriranim shranjevanjem
  • Stroge varnostne glave (HSTS, CSP, X-Frame-Options)

Obdelovalec redno pregleduje in posodablja te ukrepe, da odražajo trenutno stanje tehnike ter naravo, obseg in namene obdelave.

5. Podobdelovalci

Upravljavec daje splošno pooblastilo obdelovalcu za vključitev podobdelovalcev, ob upoštevanju pogojev iz tega razdelka.

Obdelovalec mora upravljavca obvestiti o vseh nameravanih spremembah glede dodajanja ali zamenjave podobdelovalcev ter mu omogočiti, da ugovarja takim spremembam.

Kadar obdelovalec vključi podobdelovalca, mora nanj s pogodbo prenesti enake obveznosti varstva podatkov, kot so določene v tej pogodbi o obdelavi podatkov, pri čemer zagotovi, da podobdelovalec zagotavlja zadostna jamstva za izvajanje ustreznih tehničnih in organizacijskih ukrepov.

Obdelovalec ostaja v celoti odgovoren upravljavcu za izpolnjevanje obveznosti podobdelovalca.

6. Prenosi podatkov

Vsi osebni podatki se shranjujejo in obdelujejo znotraj Evropskega gospodarskega prostora (EGP).

Obdelovalec ne sme prenesti osebnih podatkov v državo zunaj EGP ali mednarodni organizaciji, razen če: (a) je upravljavec dal predhodno pisno dovoljenje in (b) so vzpostavljene ustrezne zaščitne ukrepe v skladu s poglavjem V GDPR, kot so standardne pogodbene klavzule EU ali odločba Evropske komisije o ustreznosti.

7. Obvestilo o kršitvi varstva podatkov

Obdelovalec mora brez nepotrebnega odlašanja obvestiti upravljavca, ko izve za kršitev varstva osebnih podatkov, ki vpliva na osebne podatke, obdelane v okviru tega DPA.

Obvestilo mora vključevati: opis narave kršitve, kategorije in približno število prizadetih posameznikov, na katere se nanašajo podatki, verjetne posledice kršitve ter ukrepe, sprejete ali predlagane za obravnavo kršitve.

8. Pravice do revizije

Obdelovalec mora upravljavcu dati na voljo vse informacije, potrebne za dokazovanje skladnosti z obveznostmi iz člena 28 GDPR in tega DPA, ter mora omogočiti in prispevati k revizijam, vključno z inšpekcijskimi pregledi, ki jih izvaja upravljavec ali drug revizor, ki ga je pooblastil upravljavec.

Revizije se izvajajo z razumnim predhodnim obvestilom in med običajnimi poslovnimi urami ter ne smejo nerazumno motiti poslovanja obdelovalca.

9. Izbris in vrnitev podatkov

Ob prenehanju storitve mora obdelovalec po izbiri upravljavca izbrisati ali vrniti vse osebne podatke upravljavcu in izbrisati obstoječe kopije, razen če veljavna zakonodaja zahteva nadaljnje shranjevanje.

Upravljavec lahko pred prenehanjem zahteva izvoz podatkov v splošno uporabljeni, strojno berljivi obliki.

10. Odgovornost

Odgovornost vsake stranke v okviru tega DPA je predmet omejitev in izključitev, določenih v glavni storitveni pogodbi med strankama.

Nič v tem DPA ne omejuje odgovornosti katere koli stranke za kršitve zakonodaje o varstvu podatkov v obsegu, v katerem take odgovornosti ni mogoče omejiti po veljavni zakonodaji.

11. Veljavno pravo

Ta DPA se ureja po norveškem pravu. Vsak spor, ki izhaja iz tega DPA ali je povezan z njim, je v izključni pristojnosti okrožnega sodišča v Oslu, razen če obvezno pravo določa drugače.

12. Kontakt

Za vprašanja v zvezi s tem DPA ali zadevami varstva podatkov se obrnite na:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com