Buďte správne informovaný! Získajte prémiový účet TU
Prihlásenie
Zakúpiť členstvo
Používate zastaralý prehliadač, stránka sa nemusí zobraziť správne, môže sa zobrazovať pomaly, alebo môžu nastať iné problémy pri prehliadaní stránky. Odporúčame Vám stiahnuť si nový prehliadač tu.

GDPR – Ochrana osobných údajov: Zmluva o spracúvaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom – VZOR

Zmluva o spracúvaní osobných údajov
Zmluva o spracúvaní osobných údajov Foto: Getty Images
14. novembra 2018 Zdroj podnikam.sk Tlačiť

V máji aktuálneho roka vstúpila do účinnosti nová legislatíva v oblasti ochrany osobných údajov (GDPR). Aj napriek tomu, že tejto téme je už po dlhšiu dobu venovaná zvýšená pozornosť, mnohí podnikatelia ešte stále nespĺňajú niektoré zákonnom ustanovené povinnosti pri spracúvaní osobných údajov. Jednou z vecí, ktorú mnohí opomínajú, je uzatvorenie zmluvy na zabezpečenie spracúvaných osobných údajov medzi prevádzkovateľom a sprostredkovateľom osobných údajov. V aktuálnom článku si preto priblížime, akú formu musí mať táto sprostredkovateľská zmluva, aké náležitosti musí obsahovať a pripojíme vám aj vzor takejto zmluvy .

Nariadenie Európskeho parlamentu a Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – „GDPR“) je účinné od 25. mája 2018. K rovnakému dátumu vstúpil do účinnosti aj nový slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý ustanovuje ďalšie podmienky pri spracúvaní osobných údajov dotknutých osôb a iné súvisiace informácie („zákon o ochrane OÚ“).

Oba uvedené právne akty boli súčasťou väčšieho novelizačného balíka v oblasti regulácie ochrany osobných údajov a pre mnohé subjekty spracúvajúce osobné údaje fyzických osôb tak priniesli množstvo nových povinností. Podnikatelia pri výkone podnikateľskej činnosti často prichádzajú do kontaktu s rôznymi subjektmi poskytujúcimi služby. V rámci svojej činnosti následne spracúvajú osobné údaje fyzických osôb. Medzi takými činnosťami a službami bežne nájdeme napríklad účtovné či reklamné služby, prekladateľské služby, služby v oblasti BOZP a PO a ďalšie.

Prevádzkovateľ a sprostredkovateľ pri spracúvaní osobných údajov

Predtým, ako podnikateľ pristúpi k samotnému spracúvaniu osobných údajov, je nevyhnutné definovať postavenie, v akom sa tento subjekt nachádza pri spracúvaní osobných údajov. V praxi možno vidieť, že mnohí, najmä malí podnikatelia, sú presvedčení o tom, že ich podnikateľskej činnosti sa problematika spracúvania osobných netýka. Po hlbšom bádaní však napokon mnohí z nich zistia, že už len tým, že ich účtovníctvo spracúva externý účtovník, je potrebné, aby mali uzatvorenú sprostredkovateľskú zmluvu o spracúvaní osobných údajov.

Z novej právnej úpravy vyplýva, že podnikatelia môžu pri spracúvaní osobných údajov fyzických osôb (dotknutých osôb) vystupovať v pozícii prevádzkovateľa alebo sprostredkovateľa.

Dotknutá osoba je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.

Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene. Prevádzkovateľom osobných údajov je tak spoločnosť, ktorej sú poskytované osobné údaje a ktorá určuje účel a prostriedky spracúvania osobných údajov vo vlastnom mene. Môže ním byť aj fyzická osoba podnikateľ, orgán verejnej moci alebo iný subjekt.

Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa. Môže to byť tak fyzická osoba podnikateľ, ako aj právnická osoba, orgán verejnej moci a iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. V praxi to znamená, že sprostredkovateľ nespracúva osobné údaje dotknutých osôb pre seba, ale pre prevádzkovateľa, ktorý je väčšinou jeho klientom. Jedným z najbežnejších prípadov je účtovník, ktorý vedie účtovníctvo, personálnu či mzdovú agendu pre inú právnickú osobu alebo fyzickú osobu podnikateľa.

V prémiovej časti obsahu nájdete:

  • Základné povinnosti prevádzkovateľa pri spracúvaní osobných údajov
  • Základné povinnosti sprostredkovateľa pri spracúvaní osobných údajov
  • Zmluva o spracúvaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom (sprostredkovateľská zmluva)
  • V ktorých prípadoch je potrebné pristúpiť k uzatvorenie zmluvy o spracúvaní OÚ?
  • Vzor zmluvy

Základné povinnosti prevádzkovateľa pri spracúvaní osobných údajov

Každý prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12 zákona o ochrane OÚ.

Prevádzkovateľ je ďalej povinný pri špecificky navrhnutej ochrane osobných údajov zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie prijatých opatrení, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.

Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je zároveň povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

Základné povinnosti sprostredkovateľa pri spracúvaní osobných údajov

Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť touto činnosťou len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje.

Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa. Sprostredkovateľ je zároveň povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.

Zmluva o spracúvaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom (sprostredkovateľská zmluva)

Prevádzkovateľ môže spracúvať osobné sám alebo môže ich spracúvaním poveriť ďalšiu osobu, ktorou je sprostredkovateľ. Toto poverenie sa vykonáva formou uzatvorenia špeciálnej sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom. Zmluvnými stranami takejto zmluvy sú prevádzkovateľ na jednej a sprostredkovateľ na druhej strane. Zmluvu je potrebné uzatvoriť v písomnej alebo elektronickej podobe.

Dôležité upozornenie: Na uzatvorenie tejto zmluvy sa nevyžaduje súhlas dotknutej osoby. Týmto však nie je dotknutá informačná povinnosť prevádzkovateľa pri získavaní osobných údajov podľa § 15 zákona o ochrane OÚ. Zmluvné strany sú zároveň povinné uzatvoriť písomnú zmluvu  o spracúvaní osobných údajov ešte pred začiatkom spracúvania osobných údajov, to znamená najneskôr v de začatia spracúvania osobných údajov sprostredkovateľom. Sprostredkovateľ spracúva osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v sprostredkovateľskej zmluvy.

Náležitosti zmluvy o spracúvaní osobných údajov (sprostredkovateľskej zmluvy):

  • označenie zmluvných strán (prevádzkovateľa a sprostredkovateľa) a údaje o zmluvných stranách,
  • predmet zmluvy a doba spracúvania osobných údajov,
  • povaha a účel spracúvania osobných údajov,
  • druh spracúvaných osobných údajov, zoznam alebo rozsah ich spracúvania,
  • kategórie dotknutých osôb,
  • podmienky spracúvania osobných údajov,
  • deň začatia spracúvania osobných údajov sprostredkovateľom v mene prevádzkovateľa,
  • vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov,
  • práva a povinnosti prevádzkovateľa,
  • povinnosti sprostredkovateľa,
  • dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Povinnosti sprostredkovateľa, ktoré musia byť uvedené v zmluve o spracúvané OÚ:

  • spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku ešte pred začatím spracúvania osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
  • zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona,
  • vykonať opatrenia podľa § 39 zákona o ochrane OÚ,
  • dodržiavať zákonom ustanovené podmienky zapojenia ďalšieho sprostredkovateľa,
  • po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby,
  • poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 zákona o ochrane OÚ s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
  • vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
  • po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
  • poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.

Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje zákon o ochrane OÚ, iný osobitný právny predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov takým spôsobom, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona.

Dôležité upozornenie:

Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.

Všetky sprostredkovateľské zmluvy, ktoré boli uzatvorené do 25. mája 2018 je v súčasnosti vhodné aktualizovať a zosúladiť s novou platnou a účinnou legislatívou v oblasti regulácie ochrany osobných údajov.. V mnohých prípadoch budú musieť (museli) podnikatelia uzatvoriť úplne nové sprostredkovateľské zmluvy o spracúvaní osobných údajov, pretože nová legislatíva sa značne líši od tej pôvodnej a zaviedla do platnosti a účinnosti množstvo nových ustanovení a inštitútov.

V ktorých prípadoch je potrebné pristúpiť k uzatvorenie zmluvy o spracúvaní OÚ?

V praxi uzatvárajú zmluvné (prevádzkovateľ a sprostredkovateľ) strany sprostredkovateľskú zmluvu o spracúvaní osobných údajov v rôznych prípadoch obchodnej či inej podnikateľskej spolupráce. Najbežnejšie situácie vznikajú pri poskytovaní služieb externým subjektom (sprostredkovateľom), a to napríklad v nasledovných oblastiach:

  • poskytovanie účtovných služieb (vedenie účtovníctva), mzdových a personálnych služieb,
  • poskytovanie služieb v oblasti daňového poradenstva,
  • poskytovanie reklamných a marketingových služieb,
  • poskytovanie prekladateľských služieb,
  • poskytovanie právnych služieb,
  • poskytovanie služieb personálnych a cestovných agentúr,
  • poskytovanie IT a webhostingových služieb,
  • poskytovanie služieb v oblasti školenia bezpečnosti a ochrane zdravia pri práci a požiarnej ochrany (BOZP a PO) a ďalších.

Pri všetkých týchto a ďalších činnostiach môže mať sprostredkovateľ prístup k osobných údajom dotknutých osôb. Prevádzkovateľ je preto povinný ešte na začiatku spolupráce zistiť, či sú spracúvané osobné údaje, v akom rozsahu, v akých kategóriách, ako aj splniť ďalšie zákonom ustanovené podmienky pri spracúvaní osobných údajov a následne pristúpiť k uzatvoreniu sprostredkovateľskej zmluvy so sprostredkovateľom o spracúvaní týchto osobných údajov dotknutých osôb.

Príklad:

Spoločnosť s ručením obmedzeným XY s.r.o. poskytuje účtovné služby vedenie účtovníctva a iné súvisiace konzultačné služby. Iná spoločnosť s ručením obmedzeným ZW spol. s r.o. alebo fyzická osoba podnikateľ (živnostník) RTT kováčstvo chcú zveriť vedenie svojho účtovníctva a mzdovú agendu spoločnosti XY. Pre splnenie zákonom ustanovených podmienok je v tomto prípade nevyhnutné, aby spoločnosť ZW spol. s r.o. alebo fyzická osoba podnikateľ (živnostník) RTT kováčstvo uzatvorili so spoločnosťou XY s.r.o. sprostredkovateľskú zmluvu o spracúvaní osobných údajov. Až na základe tejto zmluvy môže spoločnosť XY s.r.o. začať s poskytovaním účtovníctva a spracúvaním poskytnutých osobných údajov. Ako sme vyššie upozornili, na spracúvanie osobných údajov už spoločnosť XY s.r.o. nepotrebuje ďalší súhlas dotknutých osôb.

Vzor zmluvy

Zmluva o spracuvaní osobných údajov

K téme

Témy

GDPR - ochrana osobných údajovPrémiový obsah

Najčítanejšie za 24 hodín

Z kategórie Bezpečnostný manažment

Poradca podnikateľa a živnostníka

Prémiový obsah pre členov klubu Podnikam.sk

Zobraziť ďalšie články

Seriály na Podnikam.sk

Školenia, semináre, kurzy

BOZP - Bezpečnosť a ochrana zdravia pri práci
BOZP vo výrobe
Cash flow
Clo
Clo a logistika
Controlling
Dane a účtovníctvo
Doprava
Dotácie
DPH - Daň z pridanej hodnoty
DzP - Dane z príjmu
Enviro
Environmentalistika
Finančné riadenie
IAS/IFRS
Koronavírus
Legislatíva a zákony
Legislatíva, zákony
Logistika
Manažérske zručnosti
Manažment
Marketing
Marketing a predaj
Medzinárodné účtovné štandardy - IAS/IFRS, US GAAP
Medzinárodné účtovné štandardy (IAS/IFRS, US GAAP)
Medzinárodné zdaňovanie
Mzdy a odvody
Nehnuteľnosti
Osobný rozvoj
Ostatné dane
Personalistika
Pohľadávky
Pracovné právo
Právo
Právo, Pracovné právo
Predaj
Riadenie
Riadenie firmy
Riadenie ľudských zdrojov
Samospráva
Školstvo
Školy
Smernice
Stavebníctvo
Účtovníctvo
Účtovníctvo a dane
Verejná správa
Verejné obstarávanie-obstarávateľ
Verejné obstarávanie-uchádzač
Výroba
žiadny
Živnosť

apríl

19apr8:30Home office – nové pravidlá v roku 20218:30 Udalosť usporiadaná: Verlag Dashöfer, s.r.o. Typ Udalosti:ŠkolenieOblasť školenia:Personalistika

19apr8:30Inventarizácia komplexne – bez chýb a pokút8:30 Udalosť usporiadaná: Verlag Dashöfer, s.r.o. Typ Udalosti:ŠkolenieOblasť školenia:Účtovníctvo

19apr8:30Home office – nové pravidlá v roku 20218:30 Udalosť usporiadaná: Verlag Dashöfer, s.r.o. Typ Udalosti:ŠkolenieOblasť školenia:Personalistika

Zobraziť všetky školenia

Eshop Podnikam.sk

Prejsť do eshopu

Zoznam firiem B2B

Uvedené informácie majú len orientačný charakter. Pre aktuálne informácie, pozrite prosím oficiálnu stránku subjektu. Tento portál nezodpovedá za presnosť uvedených informácií.

Zobraziť všetky firmy
Copyright © iSicommerce s.r.o. Všetky práva vyhradené. Vyhradzujeme si právo udeľovať súhlas na rozmnožovanie, šírenie a na verejný prenos obsahu. Ochrana osobných údajov | Podmienky používania | Kontakt | GDPR - Nastavenie sukromia
X