Nazaj na Konta
Pravno GDPR

Pogodba o obdelavi podatkov

Data Processing Agreement (DPA) — člen 28 Uredbe (EU) 2016/679

Zadnja posodobitev: 1. januar 2025

Povzetek: Ta pogodba ureja razmerje med vami (upravljavcem) in Konto (obdelovalcem) pri obdelavi osebnih podatkov vaših strank prek platforme Konta. Z aktivacijo računa soglašate s pogoji te pogodbe.

1. Namen in področje uporabe

Ta Pogodba o obdelavi podatkov ("DPA") je sklenjena med naročnikom platforme Konta ("Upravljavec") in Konta d.o.o., Dunajska cesta 5, 1000 Ljubljana ("Obdelovalec").

DPA ureja obdelavo osebnih podatkov, ki jo Obdelovalec izvaja v imenu in po navodilih Upravljavca pri zagotavljanju storitve Konta v skladu s členom 28 Uredbe (EU) 2016/679 ("GDPR").

DPA je sestavni del Pogojev uporabe platforme Konta. V primeru neskladja med DPA in Pogoji uporabe prevlada DPA v zadevah, ki se nanašajo na obdelavo osebnih podatkov.

2. Definicije

Izraz Pomen
Osebni podatki Vsaka informacija, ki se nanaša na določeno ali določljivo fizično osebo (člen 4(1) GDPR)
Obdelava Vsako dejanje z osebnimi podatki — zbiranje, hramba, posredovanje, brisanje idr. (člen 4(2) GDPR)
Upravljavec Naročnik platforme Konta, ki določa namene in sredstva obdelave
Obdelovalec Konta d.o.o., ki obdeluje podatke po navodilih Upravljavca
Podpogodbeni obdelovalec Tretja oseba, ki jo Obdelovalec pooblasti za obdelavo podatkov v imenu Upravljavca
Posameznik Fizična oseba, na katero se nanašajo osebni podatki

3. Obveznosti Konte (Obdelovalca)

Konta se zavezuje, da bo:

  • osebne podatke obdelovala izključno po dokumentiranih navodilih Upravljavca, razen kadar to zahteva pravo EU ali Republike Slovenije;
  • zagotovila, da so osebe, pooblaščene za obdelavo podatkov, zavezane k zaupnosti;
  • uvedla ustrezne tehnične in organizacijske varnostne ukrepe v skladu s členom 32 GDPR;
  • Upravljavcu pomagala pri izpolnjevanju obveznosti do posameznikov (pravica dostopa, popravka, izbrisa, itd.);
  • Upravljavcu pomagala pri izpolnjevanju obveznosti iz členov 32–36 GDPR (varnost, kršitve, ocene tveganja, posvetovanje z nadzornim organom);
  • po prenehanju storitev po izbiri Upravljavca izbrisala ali vrnila vse osebne podatke;
  • Upravljavcu zagotovila vse informacije, potrebne za dokazovanje skladnosti s členom 28 GDPR.

4. Obveznosti naročnika (Upravljavca)

Upravljavec se zavezuje, da bo:

  • zagotovil ustrezno pravno podlago za obdelavo osebnih podatkov, ki jih posreduje Konta;
  • zagotovil, da so posamezniki, katerih podatke obdeluje, ustrezno obveščeni o obdelavi v skladu s členoma 13 in 14 GDPR;
  • Konto takoj obvestil o kakršni koli napaki, spremembi ali zahtevi posameznika, ki bi vplivala na obdelavo;
  • zagotovil točnost in zakonitost posredovanih osebnih podatkov;
  • upošteval Kontine navodila glede varnega prenosa in ravnanja s podatki.

5. Podpogodbeni obdelovalci

Upravljavec s sklenitvijo te pogodbe podeljuje Konta splošno pooblastilo za vključitev podpogodbenih obdelovalcev. Konta zagotavlja, da so vsi podpogodbeni obdelovalci zavezani k enakovrednim obveznostim varstva podatkov.

Trenutni podpogodbeni obdelovalci:

Obdelovalec Namen Lokacija
Supabase Inc. Hramba podatkov in avtentikacija EU (Frankfurt, AWS)
Stripe Inc. Obdelava plačil EU
Anthropic PBC Obdelava dokumentov z AI (ekstrakcija) ZDA (SCCs)
PostHog Inc. Analitika uporabe EU (eu.posthog.com)
Functional Software (Sentry) Beleženje napak EU

Konta bo Upravljavca obvestila o morebitnih nameravanih dodajanjih ali zamenjavah podpogodbenih obdelovalcev vsaj 14 dni vnaprej. Upravljavec ima pravico do utemeljene zavrnitve.

6. Prenosi podatkov izven EU/EGP

Konta podatkov praviloma ne prenaša izven Evropske unije oz. Evropskega gospodarskega prostora. Kadar je to potrebno (npr. obdelava z AI modeli Anthropic), se prenos izvaja na podlagi standardnih pogodbenih klavzul (SCCs) v skladu s Sklepom Komisije EU 2021/914.

Podrobnosti o posameznih prenosih so na voljo na zahtevo na naslovu dpa@konta.si.

7. Varnostni ukrepi

Konta je v skladu s členom 32 GDPR uvedla naslednje tehnične in organizacijske ukrepe:

7.1 Tehnični ukrepi

  • Šifriranje podatkov v mirovanju (AES-256) in med prenosom (TLS 1.3)
  • Večfaktorska avtentikacija za vse administrativne dostope
  • Dostop do podatkov omejen na podlagi načela najmanjšega privilegija
  • Redne varnostne kopije z geografsko redundanco
  • Samodejno zaznavanje anomalij in nepooblaščenih dostopov

7.2 Organizacijski ukrepi

  • Pisna politika varstva podatkov za vse zaposlene
  • Redna usposabljanja zaposlenih s področja varstva podatkov
  • Postopek upravljanja incidentov in kršitev varnosti
  • Preverba ozadja za zaposlene z dostopom do podatkov strank

Podrobnejši opis varnostnih ukrepov je na voljo na naši varnostni strani.

8. Kršitve varnosti podatkov

V primeru ugotovljene ali domnevne kršitve varnosti osebnih podatkov bo Konta:

  • Upravljavca obvestila brez nepotrebnega odlašanja, in sicer v roku 72 ur od ugotovitve kršitve;
  • v obvestilu navedla naravo kršitve, kategorije in okvirno število prizadetih posameznikov in podatkov, predvidene posledice ter sprejete ali predlagane ukrepe;
  • zagotovila dokumentacijo kršitve v skladu s členom 33(5) GDPR;
  • Upravljavcu pomagala pri obveščanju Informacijskega pooblaščenca in prizadetih posameznikov, kadar je to obvezno.

9. Uresničevanje pravic posameznikov

Konta bo Upravljavcu pomagala pri uresničevanju pravic posameznikov:

  • Pravica dostopa (člen 15 GDPR) — posredovanje kopije podatkov
  • Pravica do popravka (člen 16 GDPR) — popravljanje netočnih podatkov
  • Pravica do izbrisa (člen 17 GDPR) — brisanje podatkov na zahtevo
  • Pravica do omejitve obdelave (člen 18 GDPR)
  • Pravica do prenosljivosti (člen 20 GDPR) — izvoz v strojno berljivem formatu
  • Pravica do ugovora (člen 21 GDPR)

Zahteve posameznikov posredujte na dpa@konta.si. Konta bo odgovorila v roku 30 dni.

10. Brisanje in vračilo podatkov

Po prenehanju storitve ali na pisno zahtevo Upravljavca bo Konta:

  • v roku 30 dni izbrisala ali anonimizirala vse osebne podatke Upravljavca;
  • na zahtevo pred izbrisom posredovala izvoz podatkov v formatu CSV/JSON;
  • zagotovila pisno potrdilo o izbrisu.

Izjema: podatki, ki jih je Konta dolžna hraniti na podlagi zakonskih obveznosti (npr. davčna zakonodaja), bodo hranjeni najkrajše zakonsko predpisano obdobje, po poteku katerega bodo izbrisani.

11. Revizija in nadzor

Upravljavec ima pravico preveriti skladnost Konte s to pogodbo. Konta bo:

  • na zahtevo posredovala revizijsko dokumentacijo in certifikate;
  • omogočila revizijo s strani Upravljavca ali pooblaščenega revizorja z razumnim predhodnim obvestilom (vsaj 30 dni);
  • revizorju zagotovila dostop do ustreznih evidenc, prostorov in osebja.

Stroške revizije nosi Upravljavec, razen v primeru ugotovljenih kršitev.

12. Veljavnost in prenehanje

Ta pogodba začne veljati z dnem aktivacije računa na platformi Konta in ostane v veljavi ves čas trajanja naročniškega razmerja.

Pogodba preneha:

  • z iztekom ali odpovedjo Pogojev uporabe platforme Konta;
  • na pisno zahtevo katere koli stranke z odpovednim rokom 30 dni.

Po prenehanju se smiselno uporabljajo določbe o brisanju podatkov (razdelek 10) in zaupnosti.

Za to pogodbo se uporablja pravo Republike Slovenije. Za reševanje sporov je pristojno sodišče v Ljubljani.

13. Kontakt in DPO

Za vsa vprašanja v zvezi s to pogodbo in obdelavo osebnih podatkov se obrnite na:

  • Konta d.o.o.
  • Dunajska cesta 5, 1000 Ljubljana
  • E-pošta: dpa@konta.si

Pritožbo v zvezi z obdelavo osebnih podatkov lahko vložite pri Informacijskem pooblaščencu RS:
Dunajska 22, 1000 Ljubljana | www.ip-rs.si