← MINCA

Pogodba o obdelavi osebnih podatkov (DPA)

Različica 2026-06-20 · sestavni del pogodbe o uporabi MINCA

Ta DPA velja med poslovnim naročnikom kot upravljavcem in ponudnikom MINCA kot obdelovalcem, kadar ponudnik v okviru storitve obdeluje osebne podatke po dokumentiranih navodilih naročnika.

1. Predmet in trajanje

Predmet je obdelava podatkov za gostovanje, prikaz, organizacijo, pretvorbo govora, AI pripravo osnutkov, komunikacijo, izdelavo dokumentov, varnostne kopije, podporo in druge naročene funkcije. Obdelava traja med pogodbo in po njenem prenehanju toliko časa, kolikor je potrebno za izvoz, izbris, varnostne kopije ali zakonsko hrambo.

2. Navodila upravljavca

Ponudnik obdeluje podatke samo na podlagi pogodbe, nastavitev, dejanj uporabnikov in drugih dokumentiranih navodil, razen če obdelavo zahteva zakon. Če je navodilo po razumni oceni v nasprotju s predpisi, ponudnik naročnika o tem obvesti in lahko izvedbo začasno ustavi.

3. Zaupnost

Dostop imajo samo pooblaščene osebe, ki so zavezane zaupnosti in usposobljene glede varstva podatkov. Dostopi se dodeljujejo po načelu najmanjših pravic in se ob prenehanju potrebe ukinejo.

4. Varnostni ukrepi

• TLS za prenos podatkov in zaščita skrivnosti oziroma poverilnic;
• ločitev podatkov po podjetjih in nadzor avtorizacije;
• revizijski dnevniki pomembnih dejanj, omejevanje zahtevkov in varnostni headerji;
• varnostne kopije in postopki obnovitve;
• upravljanje ranljivosti, posodobitve in omejevanje produkcijskega dostopa;
• postopki za izbris, izvoz, incident in redno preverjanje učinkovitosti ukrepov.

5. Podobdelovalci

Naročnik daje splošno pisno dovoljenje za uporabo ponudnikov z aktualnega seznama podobdelovalcev. Ponudnik novega podobdelovalca napove najmanj 30 dni vnaprej, kadar ima naročnikov kontakt in je sprememba bistvena. Naročnik lahko v tem roku obrazloženo ugovarja. Podobdelovalcu se pogodbeno naložijo bistveno enake obveznosti varstva podatkov; ponudnik ostane odgovoren za izpolnitev svojih obveznosti.

6. Pravice posameznikov

Ponudnik ob upoštevanju narave obdelave pomaga pri dostopu, popravku, izbrisu, omejitvi, prenosljivosti in ugovoru. Zahteve, prejete neposredno od posameznika glede naročnikovih podatkov, se praviloma posredujejo naročniku in se brez njegovih navodil vsebinsko ne rešujejo.

7. Incidenti

Ponudnik naročnika o potrjeni kršitvi osebnih podatkov obvesti brez nepotrebnega odlašanja in si prizadeva prvo obvestilo poslati v 24 urah po potrditvi. Obvestilo vsebuje razpoložljive informacije o naravi incidenta, prizadetih podatkih, posledicah, ukrepih in kontaktu. Rok ne pomeni priznanja odgovornosti in se lahko informacije dopolnjujejo postopoma.

8. Pomoč pri skladnosti

Ponudnik zagotovi razumno pomoč pri oceni učinka, predhodnem posvetovanju, evidencah dejavnosti obdelave in dokazovanju skladnosti, v obsegu razpoložljivih informacij in narave storitve. Dodatno delo zunaj običajne podpore se lahko razumno zaračuna.

9. Revizije

Ponudnik na razumno zahtevo zagotovi relevantna dokazila, povzetke presoj ali vprašalnike. Revizija se izvede največ enkrat letno, razen ob incidentu ali zahtevi organa, ob varovanju zaupnosti in z najmanjšim motenjem poslovanja. Stroške revizije praviloma nosi naročnik.

10. Prenosi v tretje države

Prenosi zunaj EGP temeljijo na odločbi o ustreznosti, standardnih pogodbenih klavzulah ali drugem veljavnem mehanizmu. Kjer je potrebno, se opravi ocena prenosa in uporabijo dodatni ukrepi.

11. Vrnitev in izbris

Po prenehanju ponudnik po izbiri naročnika omogoči izvoz ter izbriše ali anonimizira podatke, razen zakonsko zahtevanih kopij. Podatki v varnostnih kopijah ostanejo zaščiteni in se izbrišejo v običajnem ciklu prepisovanja.

Priloga A – podrobnosti obdelave

Priloga B – podobdelovalci

Aktualna in za ta DPA veljavna priloga je objavljena na /subprocessors.php.