Pogodba o obdelavi osebnih podatkov
ki jo skleneta
Informacijske rešitve, Patrik Razem s.p., Bertoki, Pobeška cesta 15B, 6000 Koper, matična številka: 6723608000, davčna številka 55969364, (v nadaljevanju: Obdelovalec)
in
Upravljavec osebnih podatkov, ki je uporabnik sistema BriefCaseLex.ai (v nadaljevanju: Upravljavec)
(v nadaljevanju skupaj tudi: Pogodbeni stranki in posamično: Pogodbena stranka)
Pogodbeni stranki uvodoma ugotavljata, da:
je Upravljavec sprejel Splošne pogoje uporabe BriefCaseLex.ai, s čimer se je med njima vzpostavilo pogodbeno razmerje (v nadaljevanju: Krovna pogodba);
lahko Upravljavec na podlagi Pogodbe uporablja Obdelovalčev sistem BriefCaseLex.ai (v nadaljevanju: Sistem);
Upravljavec v Sistem lahko nalaga različne dokumente;
lahko dokumenti iz prejšnje alineje vsebujejo osebne podatke (v nadaljevanju: Osebni podatki) in jih bodo po njunem predvidevanju praviloma tudi dejansko vsebovali;
lahko Upravljavec Osebne podatke v Sistem vnaša tudi drugače kot z nalaganjem dokumentov;
se obdelava Osebnih podatkov v Sistemu šteje za pogodbeno obdelavo v smislu določb 28. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: GDPR);
sklepata to pogodbo zaradi izpolnitve zahtev iz GDPR ter zaradi podrobnejše ureditve pogodbene obdelave Osebnih podatkov.
Predmet te pogodbe je ureditev medsebojnih razmerij med Pogodbenima strankama glede varstva Osebnih podatkov, ki se obdelujejo na podlagi Krovne pogodbe.
(1) Upravljavec pooblašča Obdelovalca za obdelavo Osebnih podatkov, v mejah in obsegu, ki je potreben za izpolnitev vseh pogodbenih obveznosti, ki izvirajo iz Krovne pogodbe.
(2) Obdelovalec bo Osebne podatke, ki se obdelujejo na podlagi Krovne pogodbe, obdeloval zgolj za namen izvajanja Krovne pogodbe.
(3) Obdelovalec bo obdeloval Osebne podatke v imenu in za račun Upravljavca. Obdelovalec Osebnih podatkov ne sme obdelovati za svoj račun ali za račun tretjih oseb.
(5) Ne glede na določbo 3. odstavka tega člena sme Obdelovalec obdelovati Osebne podatke iz te pogodbe za svoj račun, kadar to zahteva zakonodaja, ki obvezuje Obdelovalca.
(1) Pogodbeni stranki soglašata, da vrst Osebnih podatkov, ki se obdelujejo na podlagi Krovne pogodbe, ni mogoče povsem natančno opredeliti. Gre za Osebne podatke, ki jih lahko vsebujejo dokumenti oziroma dokazi, ki so podlaga za izdelavo pravnih dokumentov oziroma sodnih vlog v Sistemu. Določene Osebne podatke praviloma vsebujejo tudi dokumenti oziroma vloge, ki se izdelajo v Sistemu.
(2) Primeroma in predvidoma bodo predmet obdelave Osebni podatki naslednjih kategorij posameznikov:
stranke (sodnih postopkov, pogodbene stranke ipd.);
zaposleni in pogodbeni sodelavci pri strankah;
priče;
sodniki in sodno osebje;
notarji in njihovi zaposleni;
izvršitelji in njihovi zaposleni;
odvetniki in njihovi zaposleni.
(1) Upravljavec jamči, da so bili Osebni podatki, ki so predmet te pogodbe, zbrani in s strani Upravljavca obdelani zakonito. Upravljavec je dolžan ves čas trajanja te pogodbe zagotavljati obstoj zakonite pravne podlage za obdelavo Osebnih podatkov, ki so predmet te pogodbe.
(2) Upravljavec ima v Sistemu možnost popolnega nadzora tako nad vhodnimi dokumenti, kot tudi nad dokumenti, ki jih je izdelal v sistemu. Upravljavec prevzema polno odgovornost za delo z navedenimi dokumenti in z Osebnimi podatki, ki jih navedeni dokumenti vsebujejo.
(1) Upravljavec ima pravico, da enkrat letno pri Obdelovalcu na lastne stroške opravi revizijo obdelave, ki jo izvaja Obdelovalec po tej pogodbi. Revizijo lahko upravljavec izvede sam ali pa izvedbo poveri zunanjemu revizorju. Obdelovalec je dolžan takšne revizije omogočiti in pri njih na zahtevo aktivno sodelovati. Porabljene ure Obdelovalca oziroma njegovih zaposlenih ali pogodbenih sodelavcev za sodelovanje pri reviziji se obračunajo po urni postavki 150,00 EUR + DDV, z obračunskih intervalom vsake začete pol ure.
(2) Upravljalec je dolžan revizijo iz 1. odstavka tega člena napovedati vsaj 15 delovnih dni pred izvedbo in pri določitvi datuma upoštevati utemeljene ugovore in razloge Obdelovalca.
(3) Obdelovalec je dolžan Upravljavcu ne njegovo obrazloženo zahtevo predložiti vse informacije, ki so potrebne za dokazovanje izpolnjevanja Upravljavčevih obveznosti, ki zanj izvirajo iz te pogodbe in GDPR.
(1) Pogodbeni stranki se zavezujeta, da vsaka zase zagotavljata ustrezne ukrepe za zavarovanje Osebnih podatkov, skladno z veljavno zakonodajo.
(2) Obdelovalec je dolžan varovati Osebne podatke z ustreznimi ukrepi, ki preprečujejo namerno ali nenamerno uničenje ali izbris podatkov, nepooblaščen dostop in obdelavo Osebnih podatkov.
(3) Obdelovalec jamči, da Osebnih podatkov ne bo iznašal izven ozemlja držav članic Evropskega gospodarskega prostora ter držav, za katere je Evropska Komisija odločila, da zagotavlja ustrezno raven varstva Osebnih podatkov.
(1) Obdelovalec se zavezuje obdelovati Osebne podatke, ki so predmet te pogodbe, skladno z veljavnimi predpisi, določili te pogodbe, določili Krovne pogodbe in morebitnimi dokumentiranimi navodili Upravljavca.
(2) Obdelovalec jamči, da Sistema in njegovih funkcionalnosti ne trenira (uči, izboljšuje) na podlagi oziroma s pomočjo Osebnih podatkov, ki so predmet te pogodbe.
(3) V primeru, da bi sledenje Upravljavčevim navodilom preseglo zmogljivosti Sistema oziroma zmožnosti Obdelovalca, lahko Obdelovalec odstopi od Krovne pogodbe in od te pogodbe in Upravljavcu onemogoči uporabo Sistema.
(4) Obdelovalec je dolžan zagotoviti, da so vse osebe, ki so pri njem zaposlene oz. opravljajo delo na drugi pravni podlagi (pogodba o delu, avtorska pogodba ipd.) in bodo zaradi narave svojega dela obdelovale Osebne podatke iz te pogodbe, zavezane k zaupnosti.
(5) O kršitvi ali sumu kršitve določb 1., 2. ali 3. odstavka tega člena je Obdelovalec dolžan pisno obvestiti Upravljavca brez nepotrebnega odlašanja, najkasneje pa v roku 48 ur, odkar izve za kršitev ali sum kršitve.
(1) Upravljavec soglaša, da Obdelovalec po lastni izbiri angažira enega ali več zunanjih izvajalcev za izvedbo posameznih nalog obdelave Osebnih podatkov, ki so predmet te pogodbe (v nadaljevanju: Drugi obdelovalec), predvsem ponudnike velikih jezikovnih modelov (Large Language Model – LLM), in sicer:
OpenAI Ireland Ltd, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Republika Irska;
Anthropic, PBC, 333 Bush Street, 4th Floor, San Francisco, CA 94104, Združene države Amerike;
Google LLC, 251 Little Falls Drive, Wilmington, Delaware 19808, Združene države Amerike.
(2) Obdelovalec je dolžan o vsakokratni nameravani spremembi Drugega obdelovalca oziroma o uvedbi novega Drugega obdelovalca obvestiti upravljavca. Obdelovalec bo Upravljavca o spremembi obvestil v razumnem roku, vendar ne manj kot 8 dni pred nameravano spremembo.
(3) Upravljavec lahko zamenjavi oziroma uvedbi novega Drugega obdelovalca ugovarja. Če Obdelovalec kljub ugovoru Upravljavca vztraja pri vključitvi novega Drugega obdelovalca, ima Upravljavec pravico odstopiti od te pogodbe in Krovne pogodbe brez odpovednega roka.
(4) Obdelovalec je dolžan z Drugim obdelovalcem skleniti ustrezno pogodbo, s katero zagotovi, da bo drugi obdelovalec varoval Osebne podatke, ki so predmet te pogodbe enako ali strožje, kot je to določeno v tej pogodbi. Drugi obdelovalec je dolžan zagotavljati, da bo obdelava, ki jo izvaja, izpolnjevala zahteve, ki jih predpisuje zakonodaja. V primeru, da Drugi obdelovalec ne izpolnjuje svojih obveznosti glede varovanja Osebnih podatkov, Obdelovalec v celoti odgovarja za kršitve Drugega obdelovalca.
(5) Obdelovalec jamči, da tisti Drugi obdelovalci, ki so ponudniki velikih jezikovnih modelov, svojih modelov ne trenirajo (učijo, izboljšujejo) na podlagi oziroma s pomočjo Osebnih podatkov, ki so predmet te pogodbe.
(1) Obdelovalec bo Upravljavcu nudil informacije, svetovanje, pomoč in podporo pri izpolnjevanju Upravljavčevih obveznosti glede pravic posameznikov, na katere se nanašajo Osebni podatki.
(2) Glede na specifično obliko obdelave Osebnih podatkov v Sistemu Upravljavec soglaša, da je vloga Obdelovalca pri izvajanju določbe 1. odstavka tega člena omejena z dejstvom, da Obdelovalec ne vpogleduje v Osebne podatke, zaradi česar je mogoče, da glede določenih obveznosti (npr. glede informacije, ali se obdelujejo osebni podatki konkretnega posameznika ipd.) Upravljavcu ne bo mogel pomagati in bo njegova vloga omejena na zagotavljanje splošnih informacij glede delovanja Sistema.
(3) Če Obdelovalec prejme zahtevo za izvršitev katere od posameznikovih pravic v zvezi z obdelavo Osebnih podatkov, je dolžan takšno zahtevo nemudoma posredovati Upravljavcu, ki poskrbi za izvršitev pravice oziroma – izjemoma, če je to nujno – Obdelovalcu posreduje ustrezna navodila za izvršitev pravice.
(4) Obdelovalec je dolžan na obrazloženo zahtevo Upravljavca nuditi informacije, pomoč in podporo pri izpolnjevanju obveznosti, ki izhajajo iz izvedbe ocene učinka v zvezi z varstvom podatkov in morebitnega posvetovanja s pristojnim nadzornim organom.
(5) Obdelovalec je dolžan v primeru kršitve varstva Osebnih podatkov na zahtevo Upravljavca nuditi informacije, pomoč in podporo pri izpolnjevanju obveznosti obveščanja pristojnega nadzornega organa in (kadar je to potrebno) posameznika, na katerega se Osebni podatki nanašajo.
(6) Obdelovalec je upravičen nudenje pomoči zaračunati v skladu z določbo 1. odstavka 6. člena te pogodbe.
(1) Obdelovalec je upravičen obdelovati Osebne podatke v obdobju, za katerega je sklenjena Krovna pogodba.
(2) Obdelovalec Upravljavcu nudi možnost izbrisa Osebnih podatkov, in sicer na način, da lahko v Sistemu izbriše dokumente, ki vsebujejo Osebne podatke. Pravica do izbrisa časovno ni omejena in ni vezana na plačilo ali druge pogoje.
(1) Obdelovalec lahko kadarkoli predlaga spremembo določil te pogodbe, o čemer bo Upravljavca obvestil in mu dal primeren rok, ki ne bo krajši kot 8 dni, za sprejem sprememb.
(2) Če Upravljavec zavrne sprejem sprememb določil te pogodbe, lahko Obdelovalec odstopi od Krovne pogodbe in od te pogodbe in Upravljavcu onemogoči uporabo Sistema.
(3) Pogodbeni stranki bosta vse spore, ki bi izhajali iz te pogodbe, reševali sporazumno. V kolikor sporazumna rešitev spora ne bo mogoča, bo za reševanje sporov pristojno sodišče v Ljubljani, uporabljalo pa se bodo določbe zakonodaje Republike Slovenije.
(4) Ta pogodba je sklenjena, ko Upravljavec s Sistemu potrdi, da jo sprejema.