GDPR a Sprostredkovateľská Zmluva v Podvojnom Účtovníctve: Komplexný Prehľad

Vstupom do platnosti Všeobecného nariadenia o ochrane údajov (GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov, nastali pre podnikateľov a organizácie spracúvajúce osobné údaje nové povinnosti. Jednou z kľúčových je uzatvorenie sprostredkovateľskej zmluvy, upravujúcej vzťah medzi prevádzkovateľom a sprostredkovateľom osobných údajov. Tento článok poskytuje komplexný pohľad na túto problematiku, s dôrazom na jej aplikáciu v kontexte podvojného účtovníctva.

Úvod do Ochrany Osobných Údajov

Ochrana osobných údajov je základným právom každej fyzickej osoby. V máji nadobudla účinnosť nová legislatíva v oblasti ochrany osobných údajov (GDPR). Aj napriek tomu, že tejto téme je už po dlhšiu dobu venovaná zvýšená pozornosť, mnohí podnikatelia ešte stále nespĺňajú niektoré zákonnom ustanovené povinnosti pri spracúvaní osobných údajov. Nariadenie Európskeho parlamentu a Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov - „GDPR“) je účinné od 25. mája. K rovnakému dátumu vstúpil do účinnosti aj nový slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý ustanovuje ďalšie podmienky pri spracúvaní osobných údajov dotknutých osôb a iné súvisiace informácie („zákon o ochrane OÚ“). Oba uvedené právne akty boli súčasťou väčšieho novelizačného balíka v oblasti regulácie ochrany osobných údajov a pre mnohé subjekty spracúvajúce osobné údaje fyzických osôb tak priniesli množstvo nových povinností. Podnikatelia pri výkone podnikateľskej činnosti často prichádzajú do kontaktu s rôznymi subjektmi poskytujúcimi služby. V rámci svojej činnosti následne spracúvajú osobné údaje fyzických osôb. Medzi takými činnosťami a službami bežne nájdeme napríklad účtovné či reklamné služby, prekladateľské služby, služby v oblasti BOZP a PO a ďalšie.

Základné pojmy: Prevádzkovateľ, Sprostredkovateľ a Dotknutá Osoba

Predtým, ako podnikateľ pristúpi k samotnému spracúvaniu osobných údajov, je nevyhnutné definovať postavenie, v akom sa tento subjekt nachádza pri spracúvaní osobných údajov. Z novej právnej úpravy vyplýva, že podnikatelia môžu pri spracúvaní osobných údajov fyzických osôb (dotknutých osôb) vystupovať v pozícii prevádzkovateľa alebo sprostredkovateľa.

• Dotknutá osoba: je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
• Prevádzkovateľ: je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene. Prevádzkovateľom osobných údajov je tak spoločnosť, ktorej sú poskytované osobné údaje a ktorá určuje účel a prostriedky spracúvania osobných údajov vo vlastnom mene. Môže ním byť aj fyzická osoba podnikateľ, orgán verejnej moci alebo iný subjekt. Ste majiteľ e-shopu. Zákazník vám dá svoje údaje (meno, adresu). Vy (ako e-shop) ste prevádzkovateľ (Controller). Vy rozhodujete, prečo tie údaje potrebujete (na odoslanie tovaru) a ako dlho ich budete držať. Zákon (GDPR) kladie najvyššiu zodpovednosť práve na prevádzkovateľa. Musí: - Určiť právny základ spracúvania (súhlas, zmluva…). - Informovať dotknuté osoby (politika súkromia). - Zabezpečiť dáta. - Niesť zodpovednosť za únik dát. - Uzavrieť sprostredkovateľskú zmluvu s každým, komu údaje posúva (napr.
• Sprostredkovateľ: je každý, kto spracúva osobné údaje v mene prevádzkovateľa. Môže to byť tak fyzická osoba podnikateľ, ako aj právnická osoba, orgán verejnej moci a iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. V praxi to znamená, že sprostredkovateľ nespracúva osobné údaje dotknutých osôb pre seba, ale pre prevádzkovateľa, ktorý je väčšinou jeho klientom. Jedným z najbežnejších prípadov je účtovník, ktorý vedie účtovníctvo, personálnu či mzdovú agendu pre inú právnickú osobu alebo fyzickú osobu podnikateľa.

Praktický príklad: Účtovníctvo a GDPR

Mnohí, najmä malí podnikatelia, sú presvedčení o tom, že ich podnikateľskej činnosti sa problematika spracúvania osobných netýka. Po hlbšom bádaní však napokon mnohí z nich zistia, že už len tým, že ich účtovníctvo spracúva externý účtovník, je potrebné, aby mali uzatvorenú sprostredkovateľskú zmluvu o spracúvaní osobných údajov.

Sprostredkovateľská Zmluva: Kľúčový Nástroj pre Zabezpečenie GDPR

Prevádzkovateľ môže spracúvať osobné sám alebo môže ich spracúvaním poveriť ďalšiu osobu, ktorou je sprostredkovateľ. Toto poverenie sa vykonáva formou uzatvorenia špeciálnej sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom. Zmluvnými stranami takejto zmluvy sú prevádzkovateľ na jednej a sprostredkovateľ na druhej strane. Zmluvu je potrebné uzatvoriť v písomnej alebo elektronickej podobe. Dôležité upozornenie: Na uzatvorenie tejto zmluvy sa nevyžaduje súhlas dotknutej osoby. Týmto však nie je dotknutá informačná povinnosť prevádzkovateľa pri získavaní osobných údajov podľa § 15 zákona o ochrane OÚ. Zmluvné strany sú zároveň povinné uzatvoriť písomnú zmluvu o spracúvaní osobných údajov ešte pred začiatkom spracúvania osobných údajov, to znamená najneskôr v de začatia spracúvania osobných údajov sprostredkovateľom. Sprostredkovateľ spracúva osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v sprostredkovateľskej zmluvy.

Prečítajte si tiež: Vzor GDPR Zmluvy na stiahnutie

Náležitosti Sprostredkovateľskej Zmluvy

Náležitosti zmluvy o spracúvaní osobných údajov (sprostredkovateľskej zmluvy):

• označenie zmluvných strán (prevádzkovateľa a sprostredkovateľa) a údaje o zmluvných stranách,
• predmet zmluvy a doba spracúvania osobných údajov,
• povaha a účel spracúvania osobných údajov,
• druh spracúvaných osobných údajov, zoznam alebo rozsah ich spracúvania,
• kategórie dotknutých osôb,
• podmienky spracúvania osobných údajov,
• deň začatia spracúvania osobných údajov sprostredkovateľom v mene prevádzkovateľa,
• vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov,
• práva a povinnosti prevádzkovateľa,
• povinnosti sprostredkovateľa,
• dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Povinnosti Sprostredkovateľa v Zmluve

Povinnosti sprostredkovateľa, ktoré musia byť uvedené v zmluve o spracúvané OÚ:

• spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku ešte pred začatím spracúvania osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
• zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona,
• vykonať opatrenia podľa § 39 zákona o ochrane OÚ,
• dodržiavať zákonom ustanovené podmienky zapojenia ďalšieho sprostredkovateľa,
• po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby,
• poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 zákona o ochrane OÚ s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
• vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
• po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
• poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.

Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje zákon o ochrane OÚ, iný osobitný právny predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov takým spôsobom, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Dôležité upozornenie: Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.

Aktualizácia Sprostredkovateľských Zmlúv

Všetky sprostredkovateľské zmluvy, ktoré boli uzatvorené do 25. mája, je v súčasnosti vhodné aktualizovať a zosúladiť s novou platnou a účinnou legislatívou v oblasti regulácie ochrany osobných údajov. V mnohých prípadoch budú musieť (museli) podnikatelia uzatvoriť úplne nové sprostredkovateľské zmluvy o spracúvaní osobných údajov, pretože nová legislatíva sa značne líši od tej pôvodnej a zaviedla do platnosti a účinnosti množstvo nových ustanovení a inštitútov.

Kedy je Uzatvorenie Sprostredkovateľskej Zmluvy Nevyhnutné?

V praxi uzatvárajú zmluvné (prevádzkovateľ a sprostredkovateľ) strany sprostredkovateľskú zmluvu o spracúvaní osobných údajov v rôznych prípadoch obchodnej či inej podnikateľskej spolupráce. Najbežnejšie situácie vznikajú pri poskytovaní služieb externým subjektom (sprostredkovateľom), a to napríklad v nasledovných oblastiach:

Prečítajte si tiež: GDPR a postúpenie osobných údajov

• poskytovanie účtovných služieb (vedenie účtovníctva),
• mzdových a personálnych služieb,
• poskytovanie služieb v oblasti daňového poradenstva,
• poskytovanie reklamných a marketingových služieb,
• poskytovanie prekladateľských služieb,
• poskytovanie právnych služieb,
• poskytovanie služieb personálnych a cestovných agentúr,
• poskytovanie IT a webhostingových služieb,
• poskytovanie služieb v oblasti školenia bezpečnosti a ochrane zdravia pri práci a požiarnej ochrany (BOZP a PO) a ďalších.

Pri všetkých týchto a ďalších činnostiach môže mať sprostredkovateľ prístup k osobných údajom dotknutých osôb. Prevádzkovateľ je preto povinný ešte na začiatku spolupráce zistiť, či sú spracúvané osobné údaje, v akom rozsahu, v akých kategóriách, ako aj splniť ďalšie zákonom ustanovené podmienky pri spracúvaní osobných údajov a následne pristúpiť k uzatvoreniu sprostredkovateľskej zmluvy so sprostredkovateľom o spracúvaní týchto osobných údajov dotknutých osôb.

Príklad z praxe: Spoločnosť s ručením obmedzeným a vedenie účtovníctva

Spoločnosť s ručením obmedzeným XY s.r.o. poskytuje účtovné služby vedenie účtovníctva a iné súvisiace konzultačné služby. Iná spoločnosť s ručením obmedzeným ZW spol. s r.o. alebo fyzická osoba podnikateľ (živnostník) RTT kováčstvo chcú zveriť vedenie svojho účtovníctva a mzdovú agendu spoločnosti XY. Pre splnenie zákonom ustanovených podmienok je v tomto prípade nevyhnutné, aby spoločnosť ZW spol. s r.o. alebo fyzická osoba podnikateľ (živnostník) RTT kováčstvo uzatvorili so spoločnosťou XY s.r.o. sprostredkovateľskú zmluvu o spracúvaní osobných údajov. Až na základe tejto zmluvy môže spoločnosť XY s.r.o. začať s poskytovaním účtovníctva a spracúvaním poskytnutých osobných údajov. Ako sme vyššie upozornili, na spracúvanie osobných údajov už spoločnosť XY s.r.o. nepotrebuje ďalší súhlas dotknutých osôb.

Záznam o Kategóriách Spracovateľskej Činnosti

Každý sprostredkovateľ alebo zástupca sprostredkovateľa (ak takého má sprostredkovateľ povereného) má povinnosť vytvoriť si záznam o kategóriách spracovateľskej činnosti (ďalej len „záznam“) a to buď v papierovej alebo elektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba. Úradom zverejnený záznam je len vzorom a sprostredkovateľ alebo zástupca sprostredkovateľa má možnosť si ho upraviť podľa seba, no musí obsahovať všetky zákonné náležitosti, ktoré sú upravené v § 37 ods. 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon“), príp. podľa čl. 30 ods. 2 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“). Sprostredkovateľ alebo zástupca sprostredkovateľa je zodpovedný za to, aby všetky údaje uvedené v zázname boli aktuálne. Sprostredkovateľ alebo zástupca sprostredkovateľa si môže vypracovať vlastný záznam alebo použiť vzor zverejnený úradom. Úradom zverejnený vzor obsahuje všetky podstatné náležitosti vyžadované zákonom, príp. nariadením. Ak bude mať sprostredkovateľ/zástupca sprostredkovateľa správne a úplne vypísaný tento vzor bude napĺňať zákon. Samozrejme nie je vylúčené, aby si sprostredkovateľ alebo zástupca sprostredkovateľa v prípade potreby pridal vlastné polia, napr. poznámka a podobne.

Náležitosti Záznamu o Spracovateľských Činnostiach

1. Údaje o zodpovednej osobe a prevádzkovateľoch: Podľa § 37 ods. 2 písm. a) zákona, čl. 30 ods. 2 písm. Ak má určenú zodpovednú osobu a/alebo zástupcu, obligatórne tieto údaje uvedie. Ak ide o zodpovednú osobu, ktorá môže byť fyzickou alebo právnickou osobou sa vypíšu všetky identifikačné a kontaktné údaje, ktoré má sprostredkovateľa alebo zástupca sprostredkovateľa k dispozícií. Ak ide o zodpovednú osobu, ktorá je zároveň zamestnancom sprostredkovateľa/zástupcu sprostredkovateľa, nie je potrebné vypĺňať adresu. Ak ide o externú zodpovednú osobu uvedie sa adresa jej sídla alebo trvalého bydliska. Ďalšími náležitosťami sú údaje o všetkých prevádzkovateľoch, v mene ktorých sprostredkovateľ spracúva osobné údaje. Ak má prevádzkovateľ zvoleného svojho zástupcu, príp. ak má sprostredkovateľ sprostredkovateľa (tzv. subdodávateľ alebo subsprostredkovateľ), musí uviesť všetky tieto informácie do záznamu.
2. Kategórie spracúvania: Podľa § 37 ods. 2 písm. b) zákona, čl. 30 ods. 2 písm. Pri každom prevádzkovateľovi jednotlivo, v mene ktorého sprostredkovateľ alebo zástupca sprostredkovateľa spracúva osobné údaje je potrebné uviesť kategórie spracúvania. Tieto by mali byť predmetom uzatvorenej sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom alebo zástupcom sprostredkovateľa.
3. Prenos osobných údajov do tretích krajín: Podľa § 37 ods. 2 písm. c) zákona, čl. 30 ods. 2 písm. V prípade, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretích krajín alebo medzinárodných organizácií sprostredkovateľ alebo zástupca sprostredkovateľa je povinný vypísať aj tieto údaje. Je potrebné disponovať dokumentáciou o primeraných zárukách, ktoré tento prenos budú zabezpečovať.
4. Technické a organizačné opatrenia: Podľa § 37 ods. 2 písm. d) zákona, čl. 30 ods. 2 písm. Do záznamu o všetkých kategóriách spracovateľských činností je potrebné uviesť aké technické a organizačné bezpečnostné opatrenia sa prijali, aby sa zabezpečilo, že spracúvanie osobných údajov bude bezpečné, chránené a aby nemohli byť zneužité. Je potrebné vychádzať z § 39 zákona, resp. z čl. 32 nariadenia, ktorý stanovuje najmä tieto opatrenia: pseudonymizácia a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.

Sprostredkovateľská Zmluva Podľa Občianskeho Zákonníka

Právny rámec upravujúci sprostredkovateľskú zmluvu je obsiahnutý v § 774 až 777 zákona č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov (ďalej len ako „občiansky zákonník“). Občiansky zákonník ustanovuje, že sprostredkovateľskou zmluvou sa sprostredkovateľ zaväzuje obstarať záujemcovi za odmenu uzavretie zmluvy a záujemca sa zaväzuje sprostredkovateľovi poskytnúť odmenu vtedy, ak bol výsledok dosiahnutý pričinením sprostredkovateľa. To znamená, že ak ide o fyzické osoby nepodnikateľov, právna úprava sprostredkovateľskej zmluvy sa bude spravovať ustanoveniami občianskeho zákonníka. Aj v týchto prípadoch však zákon umožňuje účastníkom právneho vzťahu, ak je sprostredkovateľ podnikateľom, dohodnúť sa, že ich záväzkový vzťah sa bude spravovať obchodnoprávnou úpravou (§ 262 ods. 1 Obchodného zákonníka), takéto dojednanie medzi zmluvnými stranami však musí byť jasne formulované v zmluve.

Zmluvné Strany a Predmet Zmluvy

Sprostredkovateľská zmluva podľa občianskeho zákonníka je neformálnou zmluvou, ktorá sa uzatvára medzi sprostredkovateľom a záujemcom o sprostredkovanie zmluvy s treťou osobou. Zmluvnými stranami sprostredkovateľskej zmluvy sú na jednej strane sprostredkovateľ a na druhej strane záujemca. Sprostredkovateľ sa zaväzuje v zmluve obstarať záujemcovi uzavretie sprostredkúvanej zmluvy a záujemca sa zaväzuje poskytnúť sprostredkovateľovi odmenu. Nárok na províziu mu však vzniká len vtedy, ak bol výsledok dosiahnutý pričinením sprostredkovateľa. Predmetom sprostredkovateľskej zmluvy je záväzok jednej zo zmluvných strán - sprostredkovateľa - obstarať pre záujemcu určitú príležitosť. Táto služba môžu spočívať napríklad v tom, že sprostredkovateľ nájde zmluvného partnera, ktorý chce so záujemcom uzavrieť zmluvu, týchto ľudí zoznámi, môže im pomáhať pri ich vzájomných rokovaniach, ako aj pri uzatváraní sprostredkúvanej zmluvy.

Prečítajte si tiež: Vzor Zmluvy Medzi Objednávateľom a Sprostredkovateľom

Informačná Povinnosť

Pri každom jednom identifikovanom účele spracúvania je potrebné splniť informačnú povinnosť podľa čl. 13 nariadenia. V prípade súhlasu upozorňujeme na to, že ak účtovníčka spracúva osobné údaje na základe osobitných predpisov, nie je možné získavať súhlas, ale je potrebné splniť si informačnú povinnosť podľa čl. 13 nariadenia. Informačná povinnosť prevádzkovateľana oboznámenie dotknutej osoby s informáciami potrebnými k spracúvaniu osobných údajov podľa § 19 Ods. 1 a 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a podľa článku 13 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679: Na účely tohto dokumentu je prevádzkovateľom spoločnosť.

#

tags: #gdpr #sprostredkovatelska #zmluva #podvojne #ucto