1. Zmluvné strany a postavenie

1.1. Toto Data Processing Addendum ("DPA") upravuje spracúvanie osobných údajov, pri ktorom Zákazník vystupuje ako prevádzkovateľ a Poskytovateľ ako sprostredkovateľ v zmysle článku 28 GDPR, v rozsahu, v akom Poskytovateľ spracúva osobné údaje v mene Zákazníka pri poskytovaní platformy Elevia.

1.2. Toto DPA tvorí neoddeliteľnú súčasť zmluvy o poskytovaní Služby medzi stranami. Pojmy neupravené v tomto DPA majú význam podľa GDPR a VOP.

2. Predmet, trvanie, povaha a účel spracúvania

2.1. Predmetom spracúvania je poskytovanie cloudovej platformy elevia.sk a súvisiacich služieb, najmä hostovanie, správa účtov, evidencia školení, notifikácie, zákaznícka podpora, tvorba a správa vzdelávacieho obsahu, automatizované workflow a v rozsahu aktivovaných funkcionalít aj využitie AI funkcií.

2.2. Spracúvanie trvá po dobu trvania zmluvného vzťahu a následne po dobu nevyhnutnú na splnenie povinností pri ukončení spolupráce, zabezpečení exportu dát, preukazovaní plnenia povinností a splnení zákonných archivačných alebo ochranných lehôt.

2.3. Povaha operácií môže zahŕňať najmä získavanie, zaznamenávanie, usporiadanie, uchovávanie, vyhľadávanie, nahliadanie, používanie, prenos, sprístupňovanie, kombinovanie, obmedzenie, výmaz alebo likvidáciu osobných údajov.

3. Kategórie dotknutých osôb a typy údajov

3.1. Dotknutými osobami môžu byť najmä zamestnanci, uchádzači o školenie, spolupracovníci, administrátori Zákazníka, lektori, externí užívatelia a iné osoby, ktorým Zákazník umožní prístup k Službe.

3.2. Typy osobných údajov môžu zahŕňať najmä identifikačné a kontaktné údaje, pracovnú alebo organizačnú rolu, prihlasovacie a auditné záznamy, údaje o absolvovaní školení, výsledkoch testov, preferenciách notifikácií, údaje obsiahnuté v nahratých dokumentoch a inom Obsahu Zákazníka.

3.3. Osobitné kategórie údajov ani biometrické údaje nie sú štandardne určené na bežné použitie Služby. Ak má Zákazník záujem o funkcionality, ktoré s nimi pracujú, takéto použitie musí byť vopred osobitne odsúhlasené a Zákazník musí preukázať splnenie všetkých zákonných predpokladov.

4. Pokyny prevádzkovateľa

4.1. Poskytovateľ spracúva osobné údaje len na základe dokumentovaných pokynov Zákazníka, vrátane pokynov obsiahnutých v zmluve, VOP, v tomto DPA a v riadne zadaných nastaveniach Služby.

4.2. Ak sa Poskytovateľ domnieva, že pokyn Zákazníka porušuje GDPR alebo iný závažný právny predpis, bezodkladne na to Zákazníka upozorní, ak to právny predpis nevylučuje.

5. Dôvernosť a oprávnené osoby

5.1. Poskytovateľ zabezpečí, aby osoby oprávnené spracúvať osobné údaje boli viazané povinnosťou mlčanlivosti alebo zákonnou povinnosťou dôvernosti a aby mali prístup len v rozsahu nevyhnutnom pre plnenie ich úloh.

5.2. Poskytovateľ zabezpečí primerané riadenie prístupov, evidenciu oprávnení a internú disciplínu pri práci s osobnými údajmi.

6. Technické a organizačné opatrenia

6.1. Poskytovateľ prijme a bude udržiavať primerané technické a organizačné opatrenia na zabezpečenie primeranej úrovnej bezpečnosti zodpovedajúcej riziku, najmä opatrenia na ochranu dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb.

6.2. Opatrenia môžu zahŕňať najmä riadenie prístupov, segmentáciu práv, šifrovanie pri prenose a primerane pri uchovávaní, logovanie, zálohovanie, obnovu, obmedzenie prístupu subdodávateľov, pravidlá obnovy, bezpečnostné testovanie a procesy riadenia incidentov. Orientačný prehľad opatrení je uvedený v Prílohe 1 tohto DPA.

7. Subprocesori

7.1. Zákazník udeľuje Poskytovateľovi všeobecné písomné oprávnenie zapájať ďalších sprostredkovateľov (subprocesorov), ak je to potrebné na poskytovanie Služby.

7.2. Poskytovateľ bude viesť aktuálny zoznam subprocesorov v prílohe, v samostatnom dokumente alebo na webovej stránke a na požiadanie Zákazníka ho sprístupní. Pri doplnení alebo výmene subprocesora poskytne Zákazníkovi primeranú informáciu a možnosť vzniesť odôvodnené námietky, ak to povaha zmeny vyžaduje.

7.3. Poskytovateľ uloží každému subprocesorovi v podstatnom rozsahu rovnaké povinnosti ochrany osobných údajov, aké má sám podľa tohto DPA, najmä pokiaľ ide o bezpečnosť, dôvernosť a spracúvanie iba na pokyn.

8. Medzinárodné prenosy

8.1. Ak pri poskytovaní Služby dochádza k prenosu osobných údajov mimo EHP, Poskytovateľ zabezpečí, aby sa prenos opieral o platný prenosový mechanizmus podľa GDPR, najmä rozhodnutie o primeranosti, štandardné zmluvné doložky alebo iný zákonný mechanizmus.

8.2. Na žiadosť Zákazníka Poskytovateľ poskytne primerané informácie o použitom mechanizme prenosu, pokiaľ tomu nebráni povinnosť mlčanlivosti alebo bezpečnostné obmedzenie.

9. Pomoc prevádzkovateľovi

9.1. Poskytovateľ, s prihliadnutím na povahu spracúvania a informácie, ktoré má k dispozícii, poskytne Zákazníkovi primeranú súčinnosť pri vybavovaní žiadostí dotknutých osôb a pri plnení povinností podľa GDPR, najmä pri bezpečnosti spracúvania, oznamovaní porušení ochrany osobných údajov, posudzovaní vplyvu a konzultáciách s dozorným orgánom.

9.2. Ak Poskytovateľ dostane priamo žiadosť dotknutej osoby alebo dozorného orgánu, bezodkladne ju postúpi Zákazníkovi, ak právny predpis nevylučuje takéto informovanie.

10. Bezpečnostný incident a porušenie ochrany osobných údajov

10.1. Ak Poskytovateľ zistí porušenie ochrany osobných údajov týkajúce sa údajov spracúvaných podľa tohto DPA, oznámi to Zákazníkovi bez zbytočného odkladu po tom, čo sa o ňom hodnoverne dozvie.

10.2. Oznámenie bude v primeranom rozsahu obsahovať opis povahy incidentu, kategórie a možný rozsah dotknutých údajov, pravdepodobné dôsledky a opatrenia prijaté alebo navrhované na zmiernenie dôsledkov, ak sú tieto informácie Poskytovateľovi dostupné.

11. Audit a preukazovanie zhody

11.1. Poskytovateľ na primeranú žiadosť Zákazníka poskytne informácie potrebné na preukázanie splnenia povinností sprostredkovateľa podľa článku 28 GDPR.

11.2. Audit alebo iná kontrola sa vykoná po predchádzajúcej dohode, v primeranom rozsahu, bez neodôvodneného narušenia prevádzky Poskytovateľa a za podmienky mlčanlivosti. Poskytovateľ môže namiesto onsite auditu prednostne poskytnúť aktuálne certifikácie, dotazník, report alebo inú rozumnú formu dokazovania zhody, ak tým bude účel žiadosti naplnený.

12. Vrátenie alebo výmaz dát po skončení

12.1. Po skončení zmluvného vzťahu Poskytovateľ na pokyn Zákazníka osobné údaje vymaže alebo vráti, ak právny predpis neukladá ich ďalšie uchovávanie. Praktický spôsob exportu a lehoty môžu byť upravené v zmluve, SLA alebo support policy.

12.2. Zálohy sa mažú alebo prepisujú v rámci bežných retenčných cyklov Poskytovateľa, ak okamžitý výmaz nie je technicky primeraný alebo možný.

13. Záverečné ustanovenia

13.1. Toto DPA sa riadi právom Slovenskej republiky a vykladá sa v súlade s GDPR.

13.2. V prípade rozporu medzi týmto DPA a ostatnou zmluvnou dokumentáciou má vo veciach spracúvania osobných údajov prednosť toto DPA.