Pogodba o obdelavi podatkov

Sklenjena na podlagi čl. 28(3) GDPR. Je sestavni del Splošnih pogojev poslovanja in se samodejno uporablja za vsako stranko WorkAist Cloud.

Velja od: 2026-07-10

Ta dokument je objavljen v več jezikih. V primeru kakršnih koli neskladij je zavezujoča angleška različica.

1. Pogodbeni stranki in vlogi

Ta Pogodba o obdelavi podatkov (»DPA«) je sklenjena med stranko, opredeljeno v računu WorkAist (»Upravljavec«), in ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (»Obdelovalec«).

Glede Podatkov Stranke, obdelanih v WorkAist Cloud, Upravljavec določa namene in sredstva obdelave, Obdelovalec pa obdeluje v imenu Upravljavca. Kadar je Upravljavec sam obdelovalec za tretjo osebo, Upravljavec zagotavlja, da ima pooblastilo za sklenitev te DPA in da navodila, ki jih daje, odražajo navodila te tretje osebe.

Ta DPA se ne uporablja za WorkAist Self-Hosted, kjer Podatki Stranke ne dosežejo sistemov Obdelovalca, niti za podatke, za katere je Obdelovalec sam upravljavec, kar ureja Politika zasebnosti.

2. Vrstni red prednosti

Kadar je ta DPA v nasprotju s Splošnimi pogoji poslovanja, ima v zadevah varstva podatkov prednost ta DPA. Kadar je v nasprotju z individualno dogovorjenim naročilnim obrazcem ali podpisano pogodbo o obdelavi podatkov, ima prednost ta dokument.

3. Predmet, trajanje, narava in namen

Predmet je zagotavljanje WorkAist Cloud. Narava in namen obdelave sta gostovanje, shranjevanje, prenos in avtomatizirana obdelava Podatkov Stranke, da lahko delujejo agenti, connectorji in procesi, ki jih konfigurira Upravljavec, skupaj z dejavnostmi podpore, varnosti, merjenja in obračunavanja, potrebnimi za zagotavljanje Storitve.

Obdelava traja, dokler je v veljavi pogodba Upravljavca za WorkAist Cloud, ter dodatno za obdobja izbrisa iz 11. člena.

4. Kategorije posameznikov in osebnih podatkov

Upravljavec odloča, kaj naloži. Obdelava se običajno nanaša na:

Kategorije posameznikovKategorije osebnih podatkov
Zaposleni in pooblaščeni uporabniki UpravljavcaIme, službeni e-poštni naslov, vloga, avtentikacijski podatki, vnosi revizijskega dnevnika
Stranke, potencialne stranke in kontakti UpravljavcaIme, e-pošta, telefonska številka, podjetje, korespondenca, zapisi CRM, kateri koli identifikator, ki ga Upravljavec izbere za sinhronizacijo
Dobavitelji in partnerji UpravljavcaKontaktni podatki, podatki o pogodbah in računih
Vsak posameznik, ki se pojavi v dokumentih ali sporočilih, ki jih obdeluje UpravljavecVsi osebni podatki v datotekah, e-pošti, prepisih, slikah ali sporočilih, ki jih Upravljavec pošlje v Storitev

Posebne vrste osebnih podatkov po čl. 9 GDPR in osebni podatki v zvezi s kazenskimi obsodbami in prekrški po čl. 10 GDPR se v Storitvi ne smejo obdelovati, razen če sta stranki predhodno pisno dogovorili dodatne zaščitne ukrepe.

Izvor podatkov

Podatki Stranke pridejo v Storitev, ker Upravljavec poveže zunanje sisteme, naloži datoteke ali svojim agentom naroči, naj jih pridobijo. Upravljavec sam izbira te vire in določa, kaj se uvozi.

Upravljavec zagotavlja, da ima pravno podlago po čl. 6 GDPR — in, kjer je to relevantno, po čl. 9 — za zbiranje teh osebnih podatkov in njihov prenos Obdelovalcu ter da so vsa obvestila ali soglasja, ki jih zahteva izvorni sistem, urejena. Obdelovalec nima dostopa do izvornih sistemov Upravljavca, jih ne izbira ter ne preverja niti ne more preveriti, ali so skladni z zakonodajo o varstvu podatkov. Ugotavljanje tega je dolžnost Upravljavca kot upravljavca.

5. Obdelava na podlagi dokumentiranih navodil

Obdelovalec obdeluje Podatke Stranke le na podlagi dokumentiranih navodil Upravljavca, tudi glede prenosov v tretje države, razen če mu pravo Unije ali države članice, ki velja zanj, nalaga drugače. V tem primeru Obdelovalec pred obdelavo obvesti Upravljavca o tej pravni zahtevi, razen če to pravo tega ne prepoveduje iz pomembnih razlogov javnega interesa.

Splošni pogoji poslovanja, ta DPA ter konfiguracija in uporaba Storitve s strani Upravljavca predstavljajo celotna dokumentirana navodila Upravljavca. Vsako dodatno navodilo mora biti pisno in je lahko, če zahteva dodaten trud, ki presega standardno funkcionalnost Storitve, predmet vnaprej dogovorjenega razumnega plačila.

Obdelovalec brez nepotrebnega odlašanja obvesti Upravljavca, če po njegovem mnenju navodilo krši GDPR ali drugo pravo Unije ali države članice o varstvu podatkov.

6. Zaupnost

Obdelovalec zagotavlja, da so se osebe, pooblaščene za obdelavo Podatkov Stranke, zavezale k zaupnosti ali jih zavezuje ustrezna zakonska obveznost zaupnosti ter da je dostop omejen na tiste, ki ga potrebujejo za izvajanje pogodbe.

7. Varnost obdelave

Ob upoštevanju stanja tehnike, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, Obdelovalec izvaja naslednje tehnične in organizacijske ukrepe v skladu s čl. 32 GDPR.

Priloga II — Tehnični in organizacijski ukrepi

UkrepIzvajanje
Šifriranje med prenosomVes promet do in od Storitve poteka prek TLS s samodejno obnovljenimi certifikati. Notranji promet med storitvami ne zapušča gostiteljskega omrežja.
Šifriranje skrivnostiPoverilnice strank in skrivnosti connectorjev so šifrirane v mirovanju z AES-256-GCM pod ključem, hranjenim zunaj aplikacijske podatkovne baze.
PsevdonimizacijaZapisi telemetrije in merjenja se sklicujejo na najemnike in agente z identifikatorjem namesto z imenom ali e-pošto, kjer koli identifikator zadošča.
Zaupnost — nadzor dostopaNa vlogah temelječ nadzor dostopa po posameznem delovnem prostoru. Vsak agent je omejen na svojo lastno predpono shrambe in svojo lastno shemo podatkovne baze; dostop med najemniki je zavrnjen že na ravni podatkov, ne le v uporabniškem vmesniku.
Zaupnost — osebjeAdministrativni dostop po načelu najmanjših privilegijev, dodeljen individualno in pregledan ob spremembi vloge. Vsa administrativna dejanja se zapisujejo v revizijski dnevnik, ki dopušča samo dodajanje.
CelovitostDosledna validacija vnosov in parametrizirane poizvedbe. Vsaka sprememba prek operativnega API zabeleži vrstico revizijskega dnevnika, ki identificira izvajalca.
Razpoložljivost in odpornostUpravljano gostovanje v podatkovnem centru razreda Tier III v Nemčiji. Samodejne dnevne varnostne kopije podatkovne baze, hranjene šifrirano in ločeno od produkcijskega okolja.
ObnovitevDokumentiran postopek obnovitve iz najnovejše varnostne kopije; obnovitev se preizkuša v okviru sprememb infrastrukture.
Testiranje in ocenjevanjeSkeniranje ranljivosti odvisnosti v neprekinjeni integraciji, pregled kode pred združitvijo ter periodičen pregled teh ukrepov vsaj enkrat letno in ob bistveni spremembi Storitve.
Minimizacija podatkov po zasnoviConnectorji sinhronizirajo le polja, ki jih omogoči Upravljavec. Upravljavec lahko kadar koli izbriše katero koli sinhronizirano tabelo.

Obdelovalec lahko te ukrepe posodablja z razvojem tehnologije, pod pogojem, da se raven zaščite ne zniža. Trenutna različica je vedno tista, objavljena na tej strani.

8. Podobdelovalci

Upravljavec Obdelovalcu daje splošno pisno dovoljenje za vključitev podobdelovalcev. Obdelovalec vsakemu podobdelovalcu s pogodbo naloži obveznosti varstva podatkov, ki niso manj zaščitne kot te v tej DPA, ter Upravljavcu ostaja v celoti odgovoren za izpolnjevanje obveznosti podobdelovalca.

Priloga III — Odobreni podobdelovalci

Naslednji podobdelovalci so vključeni za vsako stranko WorkAist Cloud, ker so del infrastrukture, na kateri deluje Storitev.

PodobdelovalecNamenLokacijaZaščitni ukrep za prenos
Hetzner Online GmbHGostovanje aplikacijskih strežnikov, podatkovne baze in varnostnih kopijNemčija (EU)Se ne uporablja
Cloudflare, Inc.DNS, reverse proxy, prekinitev TLS, zaščita pred DDoSGlobalno robno omrežje, vključno z EUSCC; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Obdelava plačil in naročninIrska (EU)SCC za nadaljnje prenose znotraj skupine; EU-US Data Privacy Framework
Resend, Inc.Dostava transakcijske e-pošteZdružene državeSCC

Ponudniki modelov

Ponudniki velikih jezikovnih modelov so obravnavani drugače, ker jih izbira Upravljavec.

  • Če Upravljavec zagotovi lastne poverilnice ponudnika, tega ponudnika vključi Upravljavec, po njegovih navodilih in na podlagi njegovega lastnega dogovora z njim. Ta ponudnik ni podobdelovalec Obdelovalca. Obdelovalec le posreduje zahtevo z uporabo zagotovljenih poverilnic in ne daje nobenega jamstva glede varnosti tega ponudnika, lokacije obdelave, praks treniranja ali skladnosti.
  • Če Upravljavec uporabi upravljano zaračunavanje tokenov Obdelovalca, ponudnika izbere Obdelovalec, ta ponudnik pa je podobdelovalec Obdelovalca. Ponudnik, trenutno vključen v tej vlogi, je Anthropic PBC (Združene države), za sklepanje velikih jezikovnih modelov, na podlagi standardnih pogodbenih klavzul in pogodbeno onemogočen za treniranje na podatkih, ki mu jih posredujemo.

Upravljavec lahko kadar koli znotraj Storitve vidi, katerega ponudnika modela uporablja vsak od njegovih agentov, in ga spremeni.

Spremembe podobdelovalcev

Obdelovalec Upravljavca po e-pošti obvesti vsaj 30 dni pred dodajanjem ali zamenjavo podobdelovalca. Upravljavec lahko v teh 30 dneh ugovarja iz utemeljenih razlogov varstva podatkov. Če stranki ugovora ne moreta razrešiti, lahko Upravljavec brez kazni odpove prizadeti del Storitve in prejme sorazmerno povračilo vnaprej plačanih zneskov.

9. Pomoč pri pravicah posameznikov

Ob upoštevanju narave obdelave Obdelovalec z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pomaga Upravljavcu pri izpolnjevanju njegove obveznosti odzivanja na zahteve za uveljavljanje pravic posameznikov po III. poglavju GDPR.

Storitev omogoča Upravljavcu neposreden dostop do Podatkov Stranke, tako da lahko osebne podatke sam poišče, izvozi, popravi in izbriše. Kadar zahteva kljub temu zahteva vključitev Obdelovalca, ta odgovori brez nepotrebnega odlašanja in v vsakem primeru v 10 delovnih dneh. Če se posameznik glede Podatkov Stranke obrne neposredno na Obdelovalca, ta vsebinsko ne odgovori, temveč zahtevo brez nepotrebnega odlašanja posreduje Upravljavcu.

10. Pomoč v zvezi s čl. 32 do 36

Obdelovalec pomaga Upravljavcu pri zagotavljanju skladnosti z obveznostmi iz čl. 32 do 36 GDPR, ob upoštevanju narave obdelave in informacij, ki so na voljo Obdelovalcu — zlasti glede varnosti obdelave, obveščanja o kršitvi varstva osebnih podatkov, obveščanja posameznikov, ocen učinka v zvezi z varstvom podatkov in predhodnega posvetovanja.

Kršitev varstva osebnih podatkov

Obdelovalec obvesti Upravljavca brez nepotrebnega odlašanja, v vsakem primeru pa v 48 urah, potem ko izve za kršitev varstva osebnih podatkov, ki vpliva na Podatke Stranke. Obvestilo opisuje naravo kršitve, kategorije in približno število zadevnih posameznikov ter zapisov, verjetne posledice, sprejete ali predlagane ukrepe in kontaktno točko. Kadar vse informacije niso na voljo hkrati, se zagotovijo v fazah brez nadaljnjega nepotrebnega odlašanja. Obdelovalec v imenu Upravljavca ne obvešča nadzornega organa ali posameznikov, razen če je tako naročeno.

11. Izbris in vrnitev Podatkov Stranke

Po izbiri Upravljavca Obdelovalec po koncu zagotavljanja storitev, povezanih z obdelavo, izbriše ali vrne vse Podatke Stranke ter izbriše obstoječe kopije, razen če pravo Unije ali države članice zahteva hrambo osebnih podatkov.

  • V 30 dneh po prenehanju pogodbe lahko Upravljavec izvozi Podatke Stranke iz Storitve ali zahteva njihovo vrnitev v strukturirani, splošno uporabljani, strojno berljivi obliki.
  • Obdelovalec izbriše Podatke Stranke iz produkcijskih sistemov v 30 dneh po zaključku tega obdobja za izvoz.
  • Šifrirane varnostne kopije, ki vsebujejo Podatke Stranke, se prepišejo v okviru svoje običajne rotacije in v vsakem primeru v 90 dneh po izbrisu iz produkcijskih sistemov.
  • Na pisno zahtevo Obdelovalec pisno potrdi izbris.

12. Revizije in informacije

Obdelovalec da Upravljavcu na voljo vse informacije, potrebne za dokazovanje skladnosti s čl. 28 GDPR, ter omogoča in prispeva k revizijam, vključno s pregledi, ki jih izvaja Upravljavec ali drug revizor, ki ga pooblasti Upravljavec.

V praksi Obdelovalec najprej zagotovi svojo trenutno dokumentacijo tehničnih in organizacijskih ukrepov, svoj seznam podobdelovalcev ter pisne odgovore na varnostni vprašalnik. Kadar to ne zadostuje za dokazovanje skladnosti, lahko Upravljavec s 30-dnevnim pisnim obvestilom izvede revizijo na kraju samem ali na daljavo, največ enkrat na koledarsko leto, razen če je prišlo do kršitve varstva osebnih podatkov ali če to zahteva nadzorni organ. Revizije potekajo med delovnim časom, ne smejo neupravičeno motiti poslovanja Obdelovalca in zanje velja zaupnost. Upravljavec nosi lastne stroške revizije; Obdelovalec nosi svoje, razen če revizija razkrije bistveno kršitev te DPA.

13. Mednarodni prenosi

Obdelovalec hrani Podatke Stranke v mirovanju v Nemčiji. Prenosi k podobdelovalcem zunaj Evropskega gospodarskega prostora, navedenim v Prilogi III, potekajo na podlagi standardnih pogodbenih klavzul Evropske komisije (Izvedbeni sklep (EU) 2021/914), modul 3, ki se uporablja, kadar Obdelovalec kot obdelovalec vključuje podobdelovalca, po potrebi dopolnjenih z dodatnimi zaščitnimi ukrepi, in — kadar je prejemnik certificiran — na podlagi sklepa o ustreznosti za EU-US Data Privacy Framework.

S sklenitvijo te DPA Upravljavec pooblašča Obdelovalca, da v imenu in za račun Upravljavca sklene te standardne pogodbene klavzule z vsakim podobdelovalcem.

14. Odgovornost

Odgovornost po tej DPA ureja omejitev odgovornosti iz Splošnih pogojev poslovanja, s to izjemo, da nič ne omejuje odgovornosti nobene od strank do posameznika po čl. 82 GDPR ali do nadzornega organa.

15. Trajanje, pravo, ki se uporablja, in kontakt

Ta DPA začne veljati, ko se začne pogodba Upravljavca za WorkAist Cloud, in ostane v veljavi, dokler Obdelovalec obdeluje Podatke Stranke. Zanjo velja pravo Portugalske, izključno pristojna pa so sodišča v Lizboni, brez poseganja v čl. 79 GDPR.

Kontakt za vse zadeve po tej DPA: [email protected].