Spracovanie osobných údajov v zmluve: sprostredkovateľ, ručenie a vzor

Tento článok sa zaoberá spracovaním osobných údajov v kontexte zmluvných vzťahov, so zameraním na úlohu sprostredkovateľa, zodpovednosť za škodu a poskytuje prehľad o dôležitých aspektoch, ktoré by mali byť zohľadnené pri vytváraní vzorov zmlúv.

Úvod do spracovania osobných údajov

V dnešnej digitálnej dobe je spracovanie osobných údajov neoddeliteľnou súčasťou mnohých činností, a to aj v rámci zmluvných vzťahov. Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Spracovaním sa rozumie akákoľvek operácia alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi alebo so súbormi osobných údajov, napríklad zhromažďovanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prispôsobovanie alebo pozmeňovanie, vyhľadávanie, nahliadanie, používanie, poskytovanie prenosom, šírenie alebo iným sprístupňovaním, zoraďovanie alebo kombinovanie, obmedzovanie, vymazávanie alebo ničenie.

Právny rámec pre spracovanie osobných údajov na Slovensku je tvorený najmä Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR) a zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Sprostredkovateľ osobných údajov

Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Prevádzkovateľ je subjekt, ktorý určuje účely a prostriedky spracúvania osobných údajov. V zmluvnom vzťahu môže nastať situácia, kedy prevádzkovateľ poverí sprostredkovateľa spracúvaním osobných údajov na základe zmluvy.

Zmluva so sprostredkovateľom

Zmluva medzi prevádzkovateľom a sprostredkovateľom musí byť písomná a musí obsahovať minimálne tieto náležitosti:

Prečítajte si tiež: Sociálny výskum a štatistika

  • Predmet spracúvania: Jasné definovanie osobných údajov, ktoré budú spracúvané, účel spracúvania, kategórie dotknutých osôb a doba trvania spracúvania.
  • Povinnosti sprostredkovateľa: Sprostredkovateľ je povinný spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa. Musí zabezpečiť, aby boli osobné údaje chránené pred náhodným alebo nezákonným zničením, stratou, zmenou, neoprávneným sprístupnením alebo prístupom.
  • Technické a organizačné opatrenia: Sprostredkovateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku.
  • Subsprostredkovatelia: Ak sprostredkovateľ plánuje zapojiť ďalšieho sprostredkovateľa (subsprostredkovateľa), musí získať predchádzajúci písomný súhlas prevádzkovateľa.
  • Povinnosť mlčanlivosti: Sprostredkovateľ a jeho zamestnanci sú povinní zachovávať mlčanlivosť o spracúvaných osobných údajoch.
  • Práva dotknutých osôb: Sprostredkovateľ je povinný pomáhať prevádzkovateľovi pri plnení jeho povinností voči dotknutým osobám, ako je napríklad právo na prístup k údajom, právo na opravu, právo na vymazanie a právo na obmedzenie spracúvania.
  • Audit: Prevádzkovateľ má právo vykonávať audit u sprostredkovateľa, aby overil, či sprostredkovateľ dodržiava zmluvné podmienky a právne predpisy.
  • Ukončenie zmluvy: Po ukončení zmluvy je sprostredkovateľ povinný vrátiť alebo zlikvidovať všetky osobné údaje, ktoré spracúval v mene prevádzkovateľa, pokiaľ právne predpisy nevyžadujú ich uchovávanie.

Ručenie za škodu

GDPR stanovuje pravidlá pre zodpovednosť za škodu spôsobenú spracovaním osobných údajov. Prevádzkovateľ je zodpovedný za škodu, ktorú spôsobí spracúvaním osobných údajov, ktoré je v rozpore s GDPR. Sprostredkovateľ je zodpovedný za škodu, ktorú spôsobí spracúvaním osobných údajov len vtedy, ak:

  • Spracúval osobné údaje v rozpore s pokynmi prevádzkovateľa.
  • Spracúval osobné údaje v rozpore s GDPR.
  • Nekonal v súlade so svojimi povinnosťami, ktoré mu vyplývajú z GDPR a zmluvy s prevádzkovateľom.

Prevádzkovateľ a sprostredkovateľ môžu byť spoločne a nerozdielne zodpovední za škodu, ak sa podieľali na tom istom spracúvaní, ktoré spôsobilo škodu.

Zmluvné ustanovenia o zodpovednosti

V zmluve so sprostredkovateľom je dôležité upraviť aj zodpovednosť za škodu. Je možné dohodnúť si:

  • Limity zodpovednosti: Stanovenie maximálnej výšky náhrady škody, ktorú je sprostredkovateľ povinný zaplatiť.
  • Poistenie: Sprostredkovateľ by mal mať uzatvorené poistenie zodpovednosti za škodu spôsobenú spracúvaním osobných údajov.
  • Regresné nároky: Prevádzkovateľ si môže v zmluve vyhradiť právo uplatniť regresný nárok voči sprostredkovateľovi, ak prevádzkovateľ zaplatil náhradu škody dotknutej osobe za škodu spôsobenú sprostredkovateľom.

Vzor zmluvy o spracovaní osobných údajov

Vzor zmluvy o spracovaní osobných údajov by mal obsahovať všetky vyššie uvedené náležitosti. Je dôležité, aby bol vzor prispôsobený konkrétnym potrebám a okolnostiam daného zmluvného vzťahu. Nižšie je uvedený príklad štruktúry takejto zmluvy.

Príklad štruktúry zmluvy o spracovaní osobných údajov

ZMLUVA O SPRACOVANÍ OSOBNÝCH ÚDAJOV

uzavretá podľa článku 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679

Prečítajte si tiež: Ako správne udeliť súhlas UPSVaR

medzi

[Názov prevádzkovateľa]

so sídlom: [Adresa]

IČO: [IČO]

zastúpený: [Meno a priezvisko]

(ďalej len "Prevádzkovateľ")

Prečítajte si tiež: Návod na účtovanie faktúry za dotáciu

a

[Názov sprostredkovateľa]

so sídlom: [Adresa]

IČO: [IČO]

zastúpený: [Meno a priezvisko]

(ďalej len "Sprostredkovateľ")

Článok 1Predmet zmluvy

  1. Predmetom tejto zmluvy je úprava práv a povinností zmluvných strán pri spracúvaní osobných údajov Prevádzkovateľom prostredníctvom Sprostredkovateľa.

Článok 2Účel spracúvania osobných údajov

  1. Sprostredkovateľ bude spracúvať osobné údaje pre Prevádzkovateľa na účely: [konkrétne vymedzenie účelu spracúvania, napr. vedenie účtovníctva, správa zákazníckej databázy, marketingové aktivity].

Článok 3Rozsah spracúvania osobných údajov

  1. Sprostredkovateľ bude spracúvať tieto kategórie osobných údajov: [konkrétne vymedzenie kategórií osobných údajov, napr. meno, priezvisko, adresa, e-mailová adresa, telefónne číslo].
  2. Sprostredkovateľ bude spracúvať osobné údaje týchto kategórií dotknutých osôb: [konkrétne vymedzenie kategórií dotknutých osôb, napr. zákazníci, zamestnanci, dodávatelia].

Článok 4Povinnosti Sprostredkovateľa

  1. Sprostredkovateľ je povinný spracúvať osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa.
  2. Sprostredkovateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov.
  3. Sprostredkovateľ je povinný zabezpečiť, aby osoby oprávnené spracúvať osobné údaje boli viazané povinnosťou mlčanlivosti.
  4. Sprostredkovateľ je povinný informovať Prevádzkovateľa o každom porušení ochrany osobných údajov.
  5. Sprostredkovateľ je povinný poskytnúť Prevádzkovateľovi všetku potrebnú pomoc pri plnení jeho povinností voči dotknutým osobám.
  6. Sprostredkovateľ je povinný umožniť Prevádzkovateľovi vykonávať audit jeho činnosti.
  7. Po ukončení spracúvania osobných údajov je Sprostredkovateľ povinný vrátiť alebo zlikvidovať všetky osobné údaje.

Článok 5Zodpovednosť za škodu

  1. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním osobných údajov v rozpore s touto zmluvou a GDPR.
  2. [Možnosť upraviť limity zodpovednosti alebo poistenie].

Článok 6Doba trvania zmluvy

  1. Táto zmluva sa uzatvára na dobu určitú, a to od [dátum] do [dátum].

Článok 7Záverečné ustanovenia

  1. Táto zmluva sa riadi právnym poriadkom Slovenskej republiky.
  2. Akékoľvek zmeny a doplnenia tejto zmluvy sú platné len v písomnej forme.
  3. Táto zmluva je vyhotovená v dvoch rovnopisoch, z ktorých každá zmluvná strana obdrží jeden rovnopis.

V [Miesto], dňa [Dátum]

[Meno a priezvisko]Prevádzkovateľ

[Meno a priezvisko]Sprostredkovateľ

Ďalšie dôležité aspekty

  • Posúdenie vplyvu na ochranu údajov (DPIA): V niektorých prípadoch je potrebné vykonať posúdenie vplyvu na ochranu údajov, ak spracúvanie osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.
  • Súhlas so spracúvaním osobných údajov: Ak je spracúvanie osobných údajov založené na súhlase, je potrebné zabezpečiť, aby bol súhlas slobodný, konkrétny, informovaný a jednoznačný.
  • Prenos osobných údajov do tretích krajín: Ak sa osobné údaje prenášajú do krajín mimo Európskej únie, je potrebné zabezpečiť, aby bola zabezpečená primeraná úroveň ochrany osobných údajov.

tags: #spracovanie #osobných #údajov #zmluva #sprostredkovateľ #ručenie

Ďalšie články