Sprostredkovateľská Zmluva a Externý Účtovník: Kľúčové Aspekty a Vzor

Vstupom do platnosti Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679, známeho ako GDPR, a zákona č. 18/2018 Z. z. o ochrane osobných údajov, sa výrazne zmenili pravidlá spracúvania osobných údajov. Táto nová legislatíva priniesla množstvo povinností pre subjekty, ktoré s osobnými údajmi pracujú, a to vrátane tých, ktorí využívajú služby externých účtovníkov. Tento článok sa zameriava na sprostredkovateľskú zmluvu v kontexte externého účtovníctva, jej náležitosti a dôležité aspekty, ktoré by mali podnikatelia zvážiť.

GDPR a Ochrana Osobných Údajov: Prehľad

Dňa 25. mája 2018 nadobudlo účinnosť Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie GDPR“). Zároveň vstúpil do platnosti aj zákon č. 18/2018 Z. z. o ochrane osobných údajov. Tieto právne predpisy upravujú podmienky spracúvania osobných údajov a zavádzajú nové práva pre fyzické osoby (dotknuté osoby) a nové povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb (prevádzkovateľa/sprostredkovateľa).

Kto je Prevádzkovateľ a Sprostredkovateľ?

V zmysle GDPR môže podnikateľ pri spracúvaní osobných údajov vystupovať v pozícii prevádzkovateľa alebo sprostredkovateľa.

  • Prevádzkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Jednoducho povedané, prevádzkovateľom je tá osoba, ktorá spracúva osobné údaje vo vlastnom mene, resp. sama pre seba (napr. zamestnávateľ spracúva osobné údaje svojich zamestnancov alebo podnikateľ spracúva osobné údaje svojich zákazníkov).
  • Sprostredkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. To znamená, že sprostredkovateľ osobné údaje dotknutých osôb spracúva nie pre seba, ale pre niekoho iného, t. j. pre prevádzkovateľa - spravidla ako pre svojho klienta (napr. účtovník vedie účtovníctvo a mzdovú agendu pre inú obchodnú spoločnosť alebo poskytovateľ BOZP školí zamestnancov inej firmy).

Zamestnávateľ ako Prevádzkovateľ

Každý zamestnávateľ, ktorý zamestnáva aspoň jedného zamestnanca (bez ohľadu na to, či v pracovnom pomere alebo na základe niektorej z dohôd o prácach vykonávaných mimo pracovného pomeru), sa stáva zároveň aj prevádzkovateľom podľa nariadenia GDPR, keďže spracúva osobné údaje v rámci personálnej a mzdovej agendy.

Sprostredkovateľská Zmluva: Kľúčový Nástroj pre Externé Účtovníctvo

Prevádzkovateľ môže časť spracúvania osobných údajov alebo i spracúvanie celého informačného systému prenechať sprostredkovateľovi. Sprostredkovateľmi sú spravidla subjekty, ktoré externe vedú a spracúvajú personálnu a mzdovú agendu pre prevádzkovateľa. Na základe európskeho nariadenia, sa spracovanie účtovníctva externým spôsobom v pozícii sprostredkovateľa musí ošetriť špeciálnou zmluvou, ktorá sa uzatvára medzi prevádzkovateľom a sprostredkovateľom. Táto zmluva sa nazýva sprostredkovateľská.

Prečítajte si tiež: Opatrovateľská zmluva: Podrobný sprievodca

Sprostredkovateľ, na rozdiel od prevádzkovateľa, si nemôže sám určovať účel a podmienky spracúvania osobných údajov, tie mu určí prevádzkovateľ v písomnej zmluve, a to pred začatím spracúvania osobných údajov alebo najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ môže spracúvať osobné údaje len v rozsahu, spôsobom a za podmienok dohodnutých s prevádzkovateľom. Ak sa uzavrie sprostredkovateľská zmluva, externá účtovnícka jednotka môže začať spracúvať osobné dáta zamestnancov prevádzkovateľa. Zmluva určuje rozsah a podmienky spracúvania osobných údajov a taktiež sú dôležité pokyny prevádzkovateľa. Externý účtovník si nesmie sám určiť účel spracúvania osobných dát, určuje ho prevádzkovateľ.

Kedy je Potrebná Sprostredkovateľská Zmluva?

V praxi je sprostredkovateľská zmluva potrebná pri rôznych formách spolupráce podnikateľov, teda prevádzkovateľa a sprostredkovateľa. Najčastejšie sa využíva pri externom poskytovaní rôznych služieb sprostredkovateľom, napríklad:

  • Účtovných služieb
  • Reklamných služieb
  • Marketingových služieb
  • Právnych služieb
  • Služieb personálnych alebo cestovných agentúr
  • Služieb BOZP
  • IT služieb a webhostingových služieb
  • SBS služieb, pri ktorých má sprostredkovateľ prístup k osobným údajom dotknutých osôb.

Príklad: Spoločnosť X s.r.o. externe spolupracuje s účtovníckou kanceláriou Y s.r.o. za účelom vykonávania účtovníctva a miezd svojich zamestnancov. Na to, aby účtovnícka kancelária mohla spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., je potrebné uzavretie písomnej sprostredkovateľskej zmluvy medzi spoločnosťou X s.r.o. ako prevádzkovateľom a účtovníckou kanceláriou Y s.r.o. ako sprostredkovateľom. Účtovnícka kancelária na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy môže spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., bez ich súhlasu.

Forma a Náležitosti Sprostredkovateľskej Zmluvy

Poverenie sprostredkovateľa sa podľa GDPR vykonáva samostatnou špeciálnou zmluvou uzatvorenou medzi prevádzkovateľom a sprostredkovateľom v písomnej alebo elektronickej forme. Táto zmluva sa v praxi označuje ako zmluva o spracúvaní osobných údajov alebo aj tzv. sprostredkovateľská zmluva. Stretnúť sa však môžete aj s označením zmluva o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľom. Na jej uzatvorenie sa nevyžaduje súhlas dotknutej osoby.

Písomná zmluva o spracúvaní osobných údajov musí byť uzavretá ešte pred začatím spracúvania osobných údajov, najneskôr v deň začatia ich spracúvania sprostredkovateľom. Sprostredkovateľ následne môže spracúvať osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v písomnej sprostredkovateľskej zmluve.

Prečítajte si tiež: Rezervačná a sprostredkovateľská zmluva: Kompletný prehľad

Podľa čl. 28 bod 3 GDPR (§ 34 nového zákona o ochrane osobných údajov), sprostredkovateľská zmluva musí obsahovať:

  • Predmet a dobu spracúvania osobných údajov
  • Povahu a účel spracúvania osobných údajov
  • Typ osobných údajov (zoznam alebo rozsah osobných údajov)
  • Kategórie dotknutých osôb (okruh dotknutých osôb - napr. zákazníci)
  • Povinnosti a práva prevádzkovateľa
  • Povinnosti sprostredkovateľa:
    • Spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa
    • Poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií
    • Vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov
    • Dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa)
    • Poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností
    • Zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi

Okrem vyššie uvedených náležitosti netreba zabúdať, že zmluva o spracúvaní osobných údajov by mala tiež zahŕňať:

  • Údaje o zmluvných stranách (označenie prevádzkovateľa a sprostredkovateľa)
  • Podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi
  • Deň, od ktorého sprostredkovateľ môže začať osobné údaje v mene prevádzkovateľa spracúvať (najneskôr deň začatia spracúvania osobných údajov)
  • Vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov
  • Dátum uzatvorenia zmluvy a podpisy zmluvných strán

Povinnosti Sprostredkovateľa

GDPR vymedzuje množstvo povinností externého účtovníka v úlohe sprostredkovateľa. Povinnosti sprostredkovateľa, ktoré musia byť uvedené v zmluve o spracúvané OÚ:

  • Spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku ešte pred začatím spracúvania osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
  • Zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona,
  • Vykonať opatrenia podľa § 39 zákona o ochrane OÚ,
  • Dodržiavať zákonom ustanovené podmienky zapojenia ďalšieho sprostredkovateľa,
  • Po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby,
  • Poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 zákona o ochrane OÚ s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
  • Vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
  • Poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.

Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje zákon o ochrane OÚ, iný osobitný právny predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov takým spôsobom, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona.

Dôležité upozornenie: Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.

Prečítajte si tiež: Sprostredkovanie a spotrebiteľ

Záznam o spracovateľských činnostiach

Ak zamestnávateľ zamestnáva cez 250 pracovníkov a využíva externého účtovníka, musia sa vytvoriť záznamy o spracovateľských činnostiach, ktoré spravil v mene daného zamestnávateľa. V prípade menšieho počtu pracovníkov nie je povinnosť ich viesť, ale externý účtovník môže viesť záznamy dobrovoľne. Môže mu to uľahčovať orientáciu pri spracúvaní osobných dát. Taktiež môže táto dokumentácia slúžiť pri preukazovaní vykonávania svojich povinností. Vedenie záznamov o spracovateľskej činnosti je nutné evidovať v písomnej, ale aj elektronickej forme.

Každý sprostredkovateľ alebo zástupca sprostredkovateľa (ak takého má sprostredkovateľ povereného) má povinnosť vytvoriť si záznam o kategóriách spracovateľskej činnosti (ďalej len „záznam“) a to buď v papierovej alebo elektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba. Úradom zverejnený záznam je len vzorom a sprostredkovateľ alebo zástupca sprostredkovateľa má možnosť si ho upraviť podľa seba, no musí obsahovať všetky zákonné náležitosti, ktoré sú upravené v § 37 ods. 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon“), príp. podľa čl. 30 ods. 2 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“).

Náležitosti záznamu:

  1. Podľa § 37 ods. 2 písm. a) zákona, čl. 30 ods. 2 písm. a) nariadenia, sprostredkovateľ alebo zástupca sprostredkovateľa uvedie svoje meno a priezvisko, obchodné meno alebo názov a kontaktné údaje. Ak má určenú zodpovednú osobu a/alebo zástupcu, obligatórne tieto údaje uvedie. Pri zodpovednej osobe, ktorá môže byť fyzickou alebo právnickou osobou sa vypíšu všetky identifikačné a kontaktné údaje, ktoré má sprostredkovateľa alebo zástupca sprostredkovateľa k dispozícií. Ak ide o zodpovednú osobu, ktorá je zároveň zamestnancom sprostredkovateľa/zástupcu sprostredkovateľa, nie je potrebné vypĺňať adresu. Ak ide o externú zodpovednú osobu uvedie sa adresa jej sídla alebo trvalého bydliska. Ďalšími náležitosťami sú údaje o všetkých prevádzkovateľoch, v mene ktorých sprostredkovateľ spracúva osobné údaje. Ak má prevádzkovateľ zvoleného svojho zástupcu, príp. ak má sprostredkovateľ sprostredkovateľa (tzv. subdodávateľ alebo subsprostredkovateľ), musí uviesť všetky tieto informácie do záznamu.

    Príklad č. 1: V mene prevádzkovateľa 123, s. r. o. spracúva osobné údaje sprostredkovateľ „AB“, ktorý má určenú zodpovednú osobu „CD“.

    Príklad č. 2: Sprostredkovateľ „AB“ spracúva osobné údaje v mene prevádzkovateľa 456, s. r. o., ktorý má svojho zástupcu „EF“ a časť osobných údajov spracúva sprostredkovateľ sprostredkovateľa „GH“.

  2. Podľa § 37 ods. 2 písm. b) zákona, čl. 30 ods. 2 písm. b) nariadenia, sprostredkovateľ alebo zástupca sprostredkovateľa uvedie kategórie spracúvania vykonávané pre každého prevádzkovateľa. Pri každom prevádzkovateľovi jednotlivo, v mene ktorého sprostredkovateľ alebo zástupca sprostredkovateľa spracúva osobné údaje je potrebné uviesť kategórie spracúvania. Tieto by mali byť predmetom uzatvorenej sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom alebo zástupcom sprostredkovateľa.

  3. Podľa § 37 ods. 2 písm. c) zákona, čl. 30 ods. 2 písm. c) nariadenia, sprostredkovateľ alebo zástupca sprostredkovateľa uvedie prípadné prenosy osobných údajov do tretích krajín alebo medzinárodných organizácií. V prípade, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretích krajín alebo medzinárodných organizácií sprostredkovateľ alebo zástupca sprostredkovateľa je povinný vypísať aj tieto údaje. Je potrebné disponovať dokumentáciou o primeraných zárukách, ktoré tento prenos budú zabezpečovať. V zákone sú tomu venované § 47 - 51 zákona, v nariadení sú to články 44 - 50.

  4. Podľa § 37 ods. 2 písm. d) zákona, čl. 30 ods. 2 písm. d) nariadenia, sprostredkovateľ alebo zástupca sprostredkovateľa uvedie všeobecný opis technických a organizačných bezpečnostných opatrení. Do záznamu o všetkých kategóriách spracovateľských činností je potrebné uviesť aké technické a organizačné bezpečnostné opatrenia sa prijali, aby sa zabezpečilo, že spracúvanie osobných údajov bude bezpečné, chránené a aby nemohli byť zneužité.

Je potrebné vychádzať z § 39 zákona, resp. z čl. 32 nariadenia, ktorý stanovuje najmä tieto opatrenia: pseudonymizácia a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov. Inými slovami môže ísť pri technických bezpečnostných opatreniach o zabezpečenie počítača antivírusom, zaheslovanie, v prípade listinnej podoby dokumentu, ktorý obsahuje osobné údaje to môže byť uzamykateľná skriňa, trezor, archív s bezpečnostným kódom. Pri organizačných opatreniach je to ľudský faktor, ktorý zabezpečí bezpečnosť spracúvania osobných údajov dotknutých osôb, napr. určená zodpovedná osoba, poučená oprávnená osoba.

Sprostredkovateľ alebo zástupca sprostredkovateľa je zodpovedný za to, aby všetky údaje uvedené v zázname boli aktuálne. Sprostredkovateľ alebo zástupca sprostredkovateľa si môže vypracovať vlastný záznam alebo použiť vzor zverejnený úradom. Úradom zverejnený vzor obsahuje všetky podstatné náležitosti vyžadované zákonom, príp. nariadením. Ak bude mať sprostredkovateľ/zástupca sprostredkovateľa správne a úplne vypísaný tento vzor bude napĺňať zákon. Samozrejme nie je vylúčené, aby si sprostredkovateľ alebo zástupca sprostredkovateľa v prípade potreby pridal vlastné polia, napr. poznámka a podobne.

Výnimky z Povinnosti Viesť Záznam

Výnimky z povinnosti viesť záznam podľa § 37 ods. 5 zákona, resp. podľa čl. 30 ods. 5 nariadenia sa týkajú podnikov alebo organizácií, ktoré zamestnávajú menej ako 250 osôb. Pre výnimku z povinnosti viesť záznamy platí iba situácia č. 1.

  • Situácia č. 1 - spracúvanie nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. 10 nariadenia.
  • Situácia č. 2 - Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva povedie k riziku pre práva a slobody dotknutej osoby, sprostredkovateľ alebo zástupca sprostredkovateľa je povinný viesť záznamy o kategóriách spracovateľských činností.
  • Situácia č. 3 - Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a spracúvanie zahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. 10 nariadenia, sprostredkovateľ alebo zástupca sprostredkovateľa je povinný viesť záznamy o kategóriách spracovateľských činností.

Pracovná skupina WP29 uviedla, že sprostredkovateľ alebo zástupca sprostredkovateľa nemusí viesť záznamy len na tie spracovateľské operácie, na ktoré sa samotná výnimka vzťahuje. Teda ak má 10 spracovateľských operácií a na 2 sa vzťahuje výnimka, tak pri ostatných 8 má povinnosť vytvoriť si záznam o kategóriách spracovateľskej činnosti.

Oznámenie Bezpečnostného Narušenia

Európske nariadenie zaviedlo povinnosť pre sprostredkovateľov oznámiť bezpečnostné narušenie prevádzkovateľovi. To znamená, že ak sa externý účtovník dozvie o incidente, ktorý porušuje ochranu osobných údajov, s ktorými nakladá, musí to okamžite ako sa o tom dozvie, oznámiť prevádzkovateľovi.

Likvidácia alebo Odovzdanie Osobných Údajov

Ak nastane situácia skončenia poskytovania externých účtovníckych služieb, externý účtovník je povinný zlikvidovať kópie a originály osobných údajov, prípadne ich odovzdať prevádzkovateľovi.

Povinnosť Mlčanlivosti

Úlohou externého účtovníka je dodržiavať mlčanlivosť o osobných dátach, s ktorými pracuje.

Aktualizácia Existujúcich Zmlúv

Všetky sprostredkovateľské zmluvy, ktoré boli uzatvorené do 25. mája 2018 je v súčasnosti vhodné aktualizovať a zosúladiť s novou platnou a účinnou legislatívou v oblasti regulácie ochrany osobných údajov. V mnohých prípadoch budú musieť (museli) podnikatelia uzatvoriť úplne nové sprostredkovateľské zmluvy o spracúvaní osobných údajov, pretože nová legislatíva sa značne líši od tej pôvodnej a zaviedla do platnosti a účinnosti množstvo nových ustanovení a inštitútov.

tags: #sprostredkovatelska #zmluva #externy #uctovnik #vzor

Ďalšie články