GDPR, Externé Účtovníctvo a Sprostredkovateľská Zmluva: Komplexný Prehľad

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, známe ako GDPR, prinieslo zásadné zmeny v oblasti ochrany osobných údajov. Tento článok poskytuje komplexný pohľad na to, ako GDPR ovplyvňuje externé účtovníctvo a akú úlohu zohráva sprostredkovateľská zmluva v tomto kontexte.

Zmeny v ochrane osobných údajov po 25. máji

Od 25. mája nadobudol účinnosť nový zákon č. 18/2018 Z. z. o ochrane osobných údajov a NARIADENIE EURÓPSKEHO PAR­LA­MENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). Tieto predpisy nahradili zákon č. 122/2013 Z. z. o ochrane osobných údajov. Prevádzkovateľ je povinný vypracovať novú dokumentáciu v súvislosti s účinnosťou zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Kto je prevádzkovateľ a sprostredkovateľ?

V zmysle GDPR môže podnikateľ pri spracúvaní osobných údajov dotknutých osôb vystupovať v pozícii prevádzkovateľa alebo sprostredkovateľa.

• Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Jednoducho povedané, prevádzkovateľom je tá osoba, ktorá spracúva osobné údaje vo vlastnom mene, resp. sám pre seba (napr. keď zamestnávateľ spracúva osobné údaje svojich zamestnancov alebo keď podnikateľ spracúva osobné údaje svojich zákazníkov).
• Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. To znamená, že sprostredkovateľ osobné údaje dotknutých osôb spracúva nie pre seba, ale pre niekoho iného, t. j. pre prevádzkovateľa - spravidla ako pre svojho klienta (napr. keď účtovník vedie účtovníctvo a mzdovú agendu pre inú obchodnú spoločnosť alebo keď poskytovateľ BOZP školí zamestnancov inej firmy).

Externé účtovníctvo ako sprostredkovateľ

Na základe európskeho nariadenia, sa spracovanie účtovníctva externým spôsobom v pozícii sprostredkovateľa musí ošetriť špeciálnou zmluvou, ktorá sa uzatvára medzi prevádzkovateľom a sprostredkovateľom. Táto zmluva sa nazýva sprostredkovateľská. Ak sa uzavrie sprostredkovateľská zmluva, externá účtovnícka jednotka môže začať spracúvať osobné dáta zamestnancov prevádzkovateľa. Zmluva určuje rozsah a podmienky spracúvania osobných údajov a taktiež sú dôležité pokyny prevádzkovateľa. Externý účtovník si nesmie sám určiť účel spracúvania osobných dát, určuje ho prevádzkovateľ. GDPR vymedzuje množstvo povinností externého účtovníka v úlohe sprostredkovateľa.

Sprostredkovateľská zmluva: Základný kameň spolupráce

Ak prevádzkovateľ poverí spracúvaním osobných údajov sprostredkovateľa, je nevyhnutné uzatvoriť sprostredkovateľskú zmluvu. Poverenie sprostredkovateľa sa podľa GDPR vykonáva samostatnou špeciálnou zmluvou uzatvorenou medzi prevádzkovateľom a sprostredkovateľom v písomnej alebo elektronickej forme. Táto zmluva sa v praxi označuje ako zmluva o spracúvaní osobných údajov alebo aj tzv. sprostredkovateľská zmluva. Stretnúť sa však môžete aj s označením zmluva o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľom. Na jej uzatvorenie sa nevyžaduje súhlas dotknutej osoby. Spracúvanie osobných údajov sprostredkovateľom sa tiež môže riadiť iným právnym úkonom než sprostredkovateľskou zmluvou. Písomná zmluva o spracúvaní osobných údajov musí byť uzavretá ešte pred začatím spracúvania osobných údajov, najneskôr v deň začatia ich spracúvania sprostredkovateľom. Sprostredkovateľ následne môže spracúvať osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v písomnej sprostredkovateľskej zmluve.

Prečítajte si tiež: Vzor GDPR Zmluvy na stiahnutie

Náležitosti sprostredkovateľskej zmluvy

Pôvodné obsahové náležitosti zmluvy o spracúvaní osobných údajov GRRP od 25. 5. rozširuje a ustanovuje ich v čl. 28 bod 3 (§ 34 nového zákona o ochrane osobných údajov), podľa ktorého sprostredkovateľská zmluva musí obsahovať:

• predmet a dobu spracúvania osobných údajov,
• povahu a účel spracúvania osobných údajov,
• typ osobných údajov (zoznam alebo rozsah osobných údajov),
• kategórie dotknutých osôb (okruh dotknutých osôb - napr. zákazníci),
• povinnosti a práva prevádzkovateľa,
• povinnosti sprostredkovateľa:
  • spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa,
  • poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií,
  • vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov,
  • dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa),
  • poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností,
  • zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.

Okrem vyššie uvedených náležitosti netreba zabúdať, že zmluva o spracúvaní osobných údajov by mala tiež zahŕňať:

• údaje o zmluvných stranách (označenie prevádzkovateľa a sprostredkovateľa),
• podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
• deň, od ktorého sprostredkovateľ môže začať osobné údaje v mene prevádzkovateľa spracúvať (najneskôr deň začatia spracúvania osobných údajov),
• vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov,
• dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Sprostredkovateľské zmluvy uzavreté do 25. 5. 2018 je nutné zosúladiť s novými požiadavkami podľa GDPR a nového zákona o ochrane osobných údajov. Prípadne odporúčame uzatvoriť nové zmluvy, pretože náležitosti sprostredkovateľskej zmluvy podľa GDPR sa značne líšia od požiadaviek pôvodného zákona o ochrane osobných údajov.

Kedy je potrebná sprostredkovateľská zmluva?

V praxi je sprostredkovateľská zmluva potrebná pri rôznych formách spolupráce podnikateľov, teda prevádzkovateľa a sprostredkovateľa. Najčastejšie sa využíva pri externom poskytovaní rôznych služieb sprostredkovateľom, napríklad:

• účtovných služieb,
• reklamných služieb,
• marketingových služieb,
• právnych služieb,
• služieb personálnych alebo cestovných agentúr,
• služieb BOZP,
• IT služieb a webhostingových služieb,
• SBS služieb,

pri ktorých má sprostredkovateľ prístup k osobným údajom dotknutých osôb.

Prečítajte si tiež: GDPR a postúpenie osobných údajov

Príklad: Spoločnosť X s.r.o. externe spolupracuje s účtovníckou kanceláriou Y s.r.o. za účelom vykonávania účtovníctva a miezd svojich zamestnancov. Na to, aby účtovnícka kancelária mohla spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., je potrebné uzavretie písomnej sprostredkovateľskej zmluvy medzi spoločnosťou X s.r.o. ako prevádzkovateľom a účtovníckou kanceláriou Y s.r.o. ako sprostredkovateľom. Účtovnícka kancelária na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy môže spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., bez ich súhlasu.

Alternatívy k samostatnej sprostredkovateľskej zmluve

Spracúvanie osobných údajov sprostredkovateľom sa v zmysle GDPR riadi buď zmluvou (tzv. sprostredkovateľskou zmluvou) alebo iným právnym úkonom. To znamená, že vyššie uvedené náležitosti sprostredkovateľskej zmluvy môžu byť obsiahnuté aj v inom právnom úkone, teda v inej než sprostredkovateľskej zmluve (napr. v zmluve o poskytovaní marketingových a reklamných služieb).

Príklad: Firma AB s.r.o má záujem využiť reklamné a marketingové služby spoločnosti KL s.r.o. Za tým účelom tieto firmy uzavrú zmluvu o poskytovaní marketingových a reklamných služieb, do obsahu ktorej môžu tiež zahrnúť náležitosti sprostredkovateľskej zmluvy ustanovené v čl. 28 bod 3 GDPR. Spoločnosť KL s.r.o. ako sprostredkovateľ tak bude spracúvať osobné údaje dotknutých osôb na základe zmluvy o poskytovaní marketingových a reklamných služieb. V takom prípade už spoločnosti nemusia osobitne uzatvárať sprostredkovateľskú zmluvu.

Povinnosti externého účtovníka ako sprostredkovateľa

GDPR ukladá externému účtovníkovi v úlohe sprostredkovateľa viaceré povinnosti:

• Vedenie záznamov o spracovateľských činnostiach: Ak zamestnávateľ zamestnáva cez 250 pracovníkov a využíva externého účtovníka, musia sa vytvoriť záznamy o spracovateľských činnostiach, ktoré spravil v mene daného zamestnávateľa. V prípade menšieho počtu pracovníkov nie je povinnosť ich viesť, ale externý účtovník môže viesť záznamy dobrovoľne. Môže mu to uľahčovať orientáciu pri spracúvaní osobných dát. Taktiež môže táto dokumentácia slúžiť pri preukazovaní vykonávania svojich povinností. Vedenie záznamov o spracovateľskej činnosti je nutné evidovať v písomnej, ale aj elektronickej forme.
• Oznámenie bezpečnostného narušenia: Európske nariadenie zaviedlo povinnosť pre sprostredkovateľov oznámiť bezpečnostné narušenie prevádzkovateľovi. To znamená, že ak sa externý účtovník dozvie o incidente, ktorý porušuje ochranu osobných údajov, s ktorými nakladá, musí to okamžite ako sa o tom dozvie, oznámiť prevádzkovateľovi.
• Spolupráca s dozorným orgánom: Povinnosťou externého účtovníka je na vyžiadanie dozorného orgánu spolupracovať.
• Likvidácia alebo vrátenie osobných údajov: Ak nastane situácia skončenia poskytovania externých účtovníckych služieb, externý účtovník je povinný zlikvidovať kópie a originály osobných údajov, prípadne ich odovzdať prevádzkovateľovi.
• Dodržiavanie mlčanlivosti: Úlohou externého účtovníka je dodržiavať mlčanlivosť o osobných dátach, s ktorými pracuje.

Záznamy o spracovateľských činnostiach

Každý prevádzkovateľ alebo zástupca prevádzkovateľa má povinnosť viesť záznam o spracovateľskej činnosti a to buď v papierovej alebo elektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba. Na požiadanie úradu je prevádzkovateľ alebo zástupca prevádzkovateľa povinný sprístupniť záznam úradu.

Prečítajte si tiež: Vzor Zmluvy Medzi Objednávateľom a Sprostredkovateľom

Výnimky z povinnosti viesť záznam

Pre výnimku z povinnosti viesť záznamy platí iba situácia č. 1. Dávame do pozornosti, že pracovaná skupina WP29, ktorá vyjadrila svoj názor na to, ako prihliadať na výnimku viesť záznamy, tiež uviedla, že prevádzkovateľ alebo zástupca prevádzkovateľa nemusí viesť záznamy len na tie spracovateľské operácie, na ktoré sa samotná výnimka vzťahuje. Teda ak má 10 spracovateľských operácií a na 2 sa vzťahuje výnimka, tak pri ostatných 8 musí viesť záznamy o spracovateľských činnostiach.

• Situácia č. 1 - spracúvanie nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo nezahŕňa osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. = prevádzkovateľ alebo zástupca prevádzkovateľa nie je povinný viesť záznamy pre konkrétnu spracovateľskú činnosť, na ktorú sa vzťahuje táto výnimka.

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, prevádzkovateľ alebo zástupca prevádzkovateľa je povinný viesť záznamy o spracovateľských činnostiach.

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a spracúvanie zahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl.

Záznamy o spracovateľských činnostiach nahrádzajú oznámenia informačných systémov, žiadosti o osobitnú registráciu informačných systémov a evidenčné listy informačných systémov. Oproti právnej úprave obsiahnutej v zákone č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov nie je táto povinnosť naviazaná na informačný systém, ale na účel spracúvania.

Náležitosti záznamu o spracovateľských činnostiach

Prevádzkovateľ alebo zástupca prevádzkovateľa si môže vypracovať vlastný záznam alebo použiť vzor zverejnený úradom. Ak bude mať prevádzkovateľ alebo zástupca prevádzkovateľa správne a úplne vypísaný tento vzor, bude napĺňať zákon. Samozrejme nie je vylúčené, aby si prevádzkovateľ alebo zástupca prevádzkovateľa v prípade potreby pridal vlastné polia, napr.

1. Podľa § 37 ods. 1 písm. a) zákona, čl. 30 ods. 1 písm. Údaje o spoločnom prevádzkovateľovi, zástupcovi prevádzkovateľa a zodpovednej osobe sa vypíšu v prípade, ak boli poverení alebo zodpovedná osoba určená. Pri zodpovednej osobe, ktorá môže byť fyzickou alebo právnickou osobou sa vypíšu všetky identifikačné a kontaktné údaje, ktoré má prevádzkovateľ alebo zástupca prevádzkovateľa k dispozícií. Ak ide o zodpovednú osobu, ktorá je zároveň zamestnancom prevádzkovateľa/zástupcu prevádzkovateľa, nie je potrebné vypĺňať adresu. Ak ide o externú zodpovednú osobu uvedie sa adresa jej sídla alebo trvalého bydliska.
2. Podľa § 37 ods. 1 písm. b) zákona, čl. 30 ods. 1 písm. Účelom spracúvania osobných údajov (§ 7 zákona, čl. 5 ods. 1 písm. b) nariadenia) sa rozumie konkrétne vymedzený alebo ustanovený zámer, na základe ktorého bude prevádzkovateľ spracúvať osobné údaje viažuce sa na jeho činnosť. Tento účel by si mal prevádzkovateľ stanoviť vopred, jednoznačne a mal by byť oprávnený. Napr. spracúvanie osobných údajov zamestnanca na účel plnenia povinností zamestnávateľa súvisiacich s pracovným pomerom. Každý účel spracúvania musí byť v zázname vymedzený samostatne a ku každému musia byť vyplnené všetky povinné náležitosti. Koľko účelov má prevádzkovateľ, toľko „riadkov“ musí záznam obsahovať.
3. Podľa § 37 ods. 1 písm. c) zákona, čl. 30 ods. 1 písm. Opis kategórií dotknutých osôb je taký okruh osôb, ktorých osobné údaje sa budú spracúvať. V prípade príkladu na zamestnancoch bude takouto kategóriou práve zamestnanec, manžel/manželka zamestnanca, deti zamestnanca a pod. Pri kategórii osobných údajov sú tieto možnosti: bežné osobné údaje (§ 2 zákona, čl. 4 bod 1 nariadenia), osobitná kategória osobných údajov (§ 16 zákona, čl. 9 nariadenia) a/alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku (§ 17 zákona, čl. 10 nariadenia). Prevádzkovateľ/zástupca prevádzkovateľa musí uviesť kategóriu, ale nie je vylúčené, aby uviedol menný zoznam všetkých osobných údajov, ktoré spracúva. Je to možnosť, nie povinnosť.
4. Podľa § 37 ods. 1 písm. d) zákona, čl. 30ods. 1 písm. Ďalšou povinnou náležitosťou je kategória príjemcov. Príjemcom sa podľa § 5 písm. q) zákona (čl. 4 bod 9 nariadenia) rozumie každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou. Ak prevádzkovateľ vie určiť príjemcu uvedie sa do záznamu konkrétny príjemca, napríklad sociálna poisťovňa, zdravotná poisťovňa v prípade zamestnanca a platenia odvodov za neho. Ak by prevádzkovateľ nevedel určiť príjemcu, uvedie sa kategória, okruh príjemcov, napr. súdy, orgány verejnej moci atď. Príjemcom je aj sprostredkovateľ prevádzkovateľa. Takýto príjemca sa môže nachádzať aj v tretej krajine, napr. Turecko, Izrael, USA alebo je treťou stranou medzinárodná organizácia (napr. Medzinárodná organizácia práce, Medzinárodná námorná organizácia alebo Svetová zdravotnícka organizácia).
5. Podľa § 37 ods. 1 písm. e) zákona, čl. 30 ods. 1 písm. V prípade, ak prevádzkovateľ zamýšľa prenos osobných údajov aj do tretích krajín alebo medzinárodných organizácií je povinný vypísať kolónku s touto zákonnou náležitosťou, kam budú údaje prenášané. Je potrebné disponovať dokumentáciou o primeraných zárukách, ktoré tento prenos budú zabezpečovať. V zákone sú tomu venované § 47 - 51 zákona, čl.
6. Podľa § 37 ods. 1 písm. f) zákona, čl. 30 ods. 1 písm. Na každú kategóriu osobných údajov je potrebné určiť lehotu, po ktorej majú byť osobné údaje vymazané. Túto lehotu môže stanoviť osobitný právny predpis, napr. zákon o archívoch a registratúrach, prípadne si ju určí prevádzkovateľ sám s ohľadom na zásadu minimalizácie uchovávania osobných údajov (§ 10 zákona, čl. 5 ods. 1 písm. e) nariadenia).
7. Podľa § 37 ods. 1 písm. g) zákona, čl. 30 ods. 1 písm. Do záznamu o spracovateľských činnostiach je potrebné uviesť aké technické a organizačné bezpečnostné opatrenia prijal prevádzkovateľ, aby zabezpečil, že spracúvanie osobných údajov bude bezpečné, chránené a urobil všetko preto, aby nemohli byť zneužité. Je potrebné vychádzať z § 39 zákona, resp. z čl. 32 nariadenia, ktorý stanovuje najmä tieto opatrenia: pseudonymizácia a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov. Inými slovami môže ísť pri technických bezpečnostných opatreniach o zabezpečenie počítača antivírusom, zaheslovanie, v prípade listinnej podoby dokumentu, ktorý obsahuje osobné údaje to môže byť uzamykateľná skriňa, trezor, archív s kódom. Pri organizačných opatreniach je to ľudský faktor, ktorý zabezpečí bezpečnosť spracúvania osobných údajov dotknutých osôb, napr. určená zodpovedná osoba, poučená oprávnená osoba. V prípade vypracovanej dokumentácie bezpečnosti osobných údajov je možné uviesť odkaz na takýto dokument.
8. Podľa § 13 zákona, čl. Vo vzore záznamu o spracovateľských činnostiach prevádzkovateľa alebo zástupcu prevádzkovateľa je vložená fakultatívna náležitosť „právny základ spracovateľskej činnosti“, ktorý je upravený v § 13 zákona, príp. v čl. 6 nariadenia. Nie je to obligatórna náležitosť záznamu o spracovateľských činnostiach, ale vzhľadom na skutočnosť, že na právny základ sa viaže účel spracúvania osobných údajov a v prípade kontroly je prevádzkovateľ/zástupca prevádzkovateľa i tak povinný uviesť právny základ spracúvania, Úrad vidí v tejto náležitosti opodstatnenie.

Právny základ spracúvania osobných údajov

GDPR uvádza, že spracovanie je zákonné iba na základe jednej zo šiestich podmienok stanovených v článku 6 ods. 1 písm. a) až f). Primeraný právny základ zodpovedá zásade zákonnosti podľa čl. 5 ods. 1 písm. Prevádzkovatelia musia okrem iného pri určovaní vhodného zákonného základu v súlade so zásadou spravodlivosti brať do úvahy práva dotknutých osôb. Článok 6 ods. 1 písm. Je dôležité si uvedomiť, že za právny základ podľa čl. 6 ods. 1 písm.

Práva dotknutých osôb

Zákon o ochrane osobných údajov taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov na základe toho, že dotknutá osoba uplatnila právo podľa čl. Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie. Čl. 13 všeobecného nariadenia o ochrane údajov ustanovuje tzv.

Zodpovedná osoba

Určenie, postavenie a úlohy zodpovednej osoby sú prioritne upravené v čl. 37 a nasl. GDPR a v § 44 až § 46 zákona č. 18/2018 Z. z.

Súhlas so spracúvaním osobných údajov

Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov. GDPR nepredpisuje žiadnu formu pre súhlas so spracovaním osobných údajov. V prípade súhlasu upozorňujeme na to, že ak účtovníčka spracúva osobné údaje na základe osobitných predpisov, nie je možné získavať súhlas, ale je potrebné splniť si informačnú povinnosť podľa čl. 13 nariadenia.

Porušenie ochrany osobných údajov

Dokumentácia v prípade porušenia ochrany osobných údajov a ohlásenie Úradu o porušení ochrany osobných údajov podľa čl. 33 ods. Na stránke Úradu na ochranu osobných údajov je zverejnený tiež eletronický fomulár pre priame oznámenie porušenia ochrany osobných údajov podľa čl. 33 ods.

tags: #gdpr #externé #účtovníctvo #sprostredkovateľská #zmluva #vzor