Spracovateľská Zmluva a GDPR: Ako Zosúladiť Podnikanie s Ochrannou Osobných Údajov

V dnešnom digitálnom svete je ochrana osobných údajov čoraz dôležitejšia. V Európskej únii túto oblasť upravuje GDPR (General Data Protection Regulation), nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679, ktoré vstúpilo do platnosti 25. mája 2018. Toto nariadenie prináša nové práva pre fyzické osoby a nové povinnosti pre subjekty, ktoré spracúvajú ich osobné údaje. Jednou z kľúčových oblastí, ktoré GDPR upravuje, je vzťah medzi prevádzkovateľom a sprostredkovateľom osobných údajov, ktorý sa realizuje prostredníctvom spracovateľskej zmluvy.

Čo je Spracovateľská Zmluva?

Spracovateľská zmluva, známa aj ako sprostredkovateľská zmluva, je zmluva uzatvorená medzi prevádzkovateľom a sprostredkovateľom osobných údajov. Prevádzkovateľ je subjekt, ktorý určuje účely a prostriedky spracúvania osobných údajov, zatiaľ čo sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa. Táto zmluva definuje podmienky, za ktorých môže sprostredkovateľ spracúvať osobné údaje, a zabezpečuje, že spracúvanie je v súlade s GDPR.

Kto je Prevádzkovateľ a Sprostredkovateľ?

Pre lepšie pochopenie si definujme kľúčové pojmy:

  • Prevádzkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov. Prevádzkovateľom je ten, kto spracúva osobné údaje vo vlastnom mene (napr. zamestnávateľ spracúva osobné údaje svojich zamestnancov).

  • Sprostredkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Sprostredkovateľ spracúva osobné údaje pre niekoho iného, pre prevádzkovateľa (napr. účtovník vedie účtovníctvo pre inú spoločnosť).

    Prečítajte si tiež: Vzor Spracovateľskej Zmluvy

Kedy je Potrebná Spracovateľská Zmluva?

Spracovateľská zmluva je potrebná vtedy, keď prevádzkovateľ poveruje spracúvaním osobných údajov inú osobu, teda sprostredkovateľa. Táto situácia nastáva najčastejšie pri externom poskytovaní rôznych služieb, ako napríklad:

  • Účtovné služby
  • Reklamné služby
  • Marketingové služby
  • Právne služby
  • Služby personálnych alebo cestovných agentúr
  • Služby BOZP
  • IT služby a webhostingové služby
  • SBS služby

V týchto prípadoch má sprostredkovateľ prístup k osobným údajom dotknutých osôb, a preto je nevyhnutné, aby existovala zmluva, ktorá upravuje ich spracúvanie.

Príklad: Spoločnosť X s.r.o. spolupracuje s účtovníckou kanceláriou Y s.r.o. na vedení účtovníctva a miezd svojich zamestnancov. Aby mohla účtovnícka kancelária spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., musia uzavrieť písomnú sprostredkovateľskú zmluvu.

Obsah Spracovateľskej Zmluvy Podľa GDPR

GDPR stanovuje, čo musí sprostredkovateľská zmluva obsahovať. Tieto náležitosti sú uvedené v článku 28 bod 3 GDPR a v § 34 nového zákona o ochrane osobných údajov. Zmluva musí obsahovať:

  1. Predmet a dobu spracúvania osobných údajov: Definuje, aké osobné údaje sa budú spracúvať a ako dlho.

    Prečítajte si tiež: Vzor zmluvy Google Analytics

  2. Povahu a účel spracúvania osobných údajov: Opisuje, prečo sa osobné údaje spracúvajú.

  3. Typ osobných údajov: Zoznam alebo rozsah osobných údajov, ktoré sa budú spracúvať (napr. meno, adresa, e-mail).

  4. Kategórie dotknutých osôb: Okruh osôb, ktorých údaje sa spracúvajú (napr. zákazníci, zamestnanci).

  5. Povinnosti a práva prevádzkovateľa: Stanovuje, čo musí prevádzkovateľ zabezpečiť a aké má práva.

  6. Povinnosti sprostredkovateľa:

    Prečítajte si tiež: Podrobnosti o Spracovateľskej Zmluve Google

    • Spracúvať osobné údaje len na základe pokynov prevádzkovateľa.
    • Poučiť osoby oprávnené spracúvať osobné údaje o povinnosti mlčanlivosti.
    • Vykonávať opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov.
    • Dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa).
    • Poskytovať prevádzkovateľovi súčinnosť pri zabezpečovaní práv dotknutej osoby.
    • Zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.

  7. Údaje o zmluvných stranách: Označenie prevádzkovateľa a sprostredkovateľa.

  8. Podmienky spracúvania osobných údajov: Zoznam povolených operácií s osobnými údajmi.

  9. Deň začatia spracúvania osobných údajov: Dátum, od ktorého môže sprostredkovateľ začať spracúvať osobné údaje.

  10. Vyhlásenie prevádzkovateľa: Potvrdenie, že prevádzkovateľ dbal na odbornú, technickú, organizačnú a personálnu spôsobilosť sprostredkovateľa.

  11. Dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Spracúvanie Osobných Údajov Sprostredkovateľom Bez Osobitnej Zmluvy

Je dôležité si uvedomiť, že náležitosti sprostredkovateľskej zmluvy môžu byť obsiahnuté aj v inom právnom úkone, napríklad v zmluve o poskytovaní marketingových a reklamných služieb. V takom prípade nie je potrebné uzatvárať osobitnú sprostredkovateľskú zmluvu.

Príklad: Firma AB s.r.o. uzavrie so spoločnosťou KL s.r.o. zmluvu o poskytovaní marketingových a reklamných služieb, ktorá obsahuje aj náležitosti sprostredkovateľskej zmluvy. Spoločnosť KL s.r.o. tak bude spracúvať osobné údaje dotknutých osôb na základe tejto zmluvy o poskytovaní marketingových a reklamných služieb.

Zjednodušenie Pravidiel EÚ a Zníženie Administratívnej Záťaže

Návrh, ktorý je súčasťou štvrtého zjednodušujúceho balíka Omnibus, si kladie za cieľ zjednodušiť pravidlá EÚ a znížiť administratívnu záťaž. Tento návrh upravuje článok 30 ods. 5 GDPR, ktorý stanovuje výnimku z povinnosti viesť záznamy o spracovateľských činnostiach. V súčasnosti sa táto výnimka vzťahuje len na podniky a organizácie s menej ako 250 zamestnancami, okrem určitých prípadov.

Návrh zavádza definíciu malých a stredných podnikov a malých „mid-cap“ podnikov v článku 4 GDPR a rozširuje pôsobnosť článkov 40 ods. 1 a 42 ods. 1 GDPR aj na malé „mid-cap“ podniky. Pokiaľ ide o organizácie, na ktoré sa má výnimka vzťahovať, Európsky výbor pre ochranu údajov (EDPB) a Európsky dozorný úradník pre ochranu údajov (EDPS) očakávajú ďalšie objasnenie dôvodov, prečo by mala byť podľa GDPR vhodnejšia nová hranica pre podniky alebo organizácie s menej ako 750 zamestnancami - namiesto pôvodne zvažovanej hranice 500 zamestnancov.

Ochrana Osobných Údajov v Praxi

Spoločnosť KRB-TECH s.r.o. zdôrazňuje, že ochrana osobných údajov je pre ňu veľmi dôležitá. Spoločnosť sa snaží zabezpečiť, aby osobné údaje zákazníkov boli v bezpečí. Osobné údaje sú nevyhnutné na plnenie predmetu zmluvy, priradenie platby a poskytovanie súvisiacich služieb. Spoločnosť spolupracuje s dôveryhodnými dodávateľmi a umiestňuje svoje internetové obchody v cloudovej infraštruktúre spoločnosti Master Internet, s.r.o., kde sú všetky postupy a procesy certifikované v rámci systému manažmentu kvality ISO 9001:2009 a bezpečnosti informácií ISO/IEC 27001:2013.

Práva Dotknutých Osôb

Zákon o ochrane osobných údajov poskytuje dotknutým osobám kontrolu nad spracúvaním ich osobných údajov. Každá dotknutá osoba má právo na základe písomnej žiadosti vyžadovať:

  • Potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané.
  • Informácie o spracúvaní osobných údajov.
  • Informácie o zdroji, z ktorého boli osobné údaje získané.
  • Zoznam jej osobných údajov, ktoré sú predmetom spracúvania.
  • Opravu alebo likvidáciu nesprávnych, neúplných alebo neaktuálnych osobných údajov.
  • Likvidáciu jej osobných údajov, ktorých účel spracúvania sa skončil.
  • Likvidáciu jej osobných údajov, ak došlo k porušeniu zákona.
  • Blokovanie jej osobných údajov z dôvodu odvolania súhlasu.

Zabezpečenie Spracúvania Osobných Údajov

Prevádzkovateľ sa zaväzuje, že spracúvanie osobných údajov bude zabezpečené nasledujúcim spôsobom:

  • Osobné údaje sú spracovávané v súlade s právnymi predpismi a na základe pokynov prevádzkovateľa.
  • Prevádzkovateľ technicky a organizačne zabezpečí ochranu spracúvaných osobných údajov.
  • Prijaté technické a organizačné opatrenia zodpovedajú miere rizika.
  • Ochrana osobných údajov podlieha interným bezpečnostným predpisom prevádzkovateľa.
  • K osobným údajom budú mať prístup len oprávnené osoby.
  • Oprávnené osoby sú povinné zachovávať mlčanlivosť o osobných údajoch a o bezpečnostných opatreniach.
  • Prevádzkovateľ bude používateľovi pomáhať pri zabezpečovaní práv dotknutej osoby.
  • Po ukončení poskytovania plnenia je prevádzkovateľ povinný všetky osobné údaje vymazať alebo ich vrátiť používateľovi.
  • Prevádzkovateľ poskytne používateľovi všetky informácie potrebné na preukázanie toho, že boli splnené povinnosti podľa zmluvy a GDPR.

tags: #spracovatelska #zmluva #gdpr #vzor

Ďalšie články