Zmluva Medzi Objednávateľom a Sprostredkovateľom GDPR: Vzor a Dôležité Aspekty

Úvod

Ochrana osobných údajov je v dnešnej dobe kľúčovou témou, a preto je nevyhnutné, aby organizácie, ktoré s osobnými údajmi pracujú, dodržiavali nariadenie GDPR (General Data Protection Regulation). V prípade, že organizácia (objednávateľ) využíva externého sprostredkovateľa na spracovanie osobných údajov, je potrebné uzavrieť zmluvu, ktorá upravuje vzájomné práva a povinnosti. Tento článok poskytuje vzor a dôležité aspekty takejto zmluvy.

Základné Princípy GDPR a Ich Implementácia v Zmluve

GDPR kladie dôraz na niekoľko základných princípov, ktoré musia byť zohľadnené v zmluve medzi objednávateľom a sprostredkovateľom. Medzi tieto princípy patrí zákonnosť, spravodlivosť, transparentnosť, minimalizácia údajov, presnosť, obmedzenie uchovávania, integrita a dôvernosť.

Zákonnosť, Spravodlivosť a Transparentnosť

Zmluva musí jasne definovať, na akom právnom základe sprostredkovateľ spracúva osobné údaje. Musí byť zabezpečená transparentnosť voči dotknutým osobám, a to prostredníctvom informovania o spracovaní ich osobných údajov.

Minimalizácia Údajov a Presnosť

Zmluva by mala obsahovať ustanovenia o tom, že sprostredkovateľ spracúva len tie osobné údaje, ktoré sú nevyhnutné na dosiahnutie stanoveného účelu. Zároveň musí zabezpečiť, aby boli spracúvané údaje presné a aktuálne.

Obmedzenie Uchovávania, Integrita a Dôvernosť

Zmluva musí stanoviť dobu, počas ktorej môže sprostredkovateľ uchovávať osobné údaje. Musia byť implementované technické a organizačné opatrenia na zabezpečenie integrity a dôvernosti osobných údajov, aby sa zabránilo ich neoprávnenému prístupu, strate alebo zničeniu.

Prečítajte si tiež: Vzor zmluvy o príspevku

Kľúčové Klauzuly Zmluvy Medzi Objednávateľom a Sprostredkovateľom

Zmluva medzi objednávateľom a sprostredkovateľom by mala obsahovať nasledujúce kľúčové klauzuly:

Identifikácia Strán

Zmluva musí jasne identifikovať objednávateľa (prevádzkovateľa) a sprostredkovateľa, vrátane ich kontaktných údajov.

Predmet Zmluvy a Rozsah Spracovania

Presná definícia predmetu zmluvy, teda aké osobné údaje a za akým účelom bude sprostredkovateľ spracúvať. Rozsah spracovania by mal byť jasne definovaný, vrátane kategórií dotknutých osôb a typov spracúvaných údajov.

Povinnosti Sprostredkovateľa

Sprostredkovateľ má povinnosť spracúvať osobné údaje len na základe pokynov objednávateľa. Musí implementovať vhodné technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov. Ďalej je povinný spolupracovať s objednávateľom pri plnení jeho povinností voči dotknutým osobám.

Povinnosti Objednávateľa

Objednávateľ je povinný poskytnúť sprostredkovateľovi všetky potrebné informácie a pokyny na spracovanie osobných údajov. Musí zabezpečiť, aby spracovanie osobných údajov sprostredkovateľom bolo v súlade s GDPR.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Sub-Sprostredkovatelia

Ak sprostredkovateľ plánuje využívať sub-sprostredkovateľov, musí o tom informovať objednávateľa a získať jeho súhlas. Sub-sprostredkovateľ musí spĺňať rovnaké požiadavky na ochranu osobných údajov ako sprostredkovateľ.

Bezpečnostné Opatrenia

Zmluva musí obsahovať podrobný popis technických a organizačných opatrení, ktoré sprostredkovateľ implementoval na zabezpečenie ochrany osobných údajov. Tieto opatrenia by mali byť v súlade s požiadavkami GDPR a mali by zabezpečiť primeranú úroveň bezpečnosti vzhľadom na riziká spojené so spracovaním osobných údajov.

Audit a Kontrola

Objednávateľ má právo vykonávať audity a kontroly u sprostredkovateľa, aby overil, či sprostredkovateľ dodržiava ustanovenia zmluvy a GDPR. Sprostredkovateľ je povinný poskytnúť objednávateľovi všetku potrebnú súčinnosť pri vykonávaní auditu.

Riešenie Incidentov

Zmluva by mala obsahovať postup pri riešení bezpečnostných incidentov, vrátane povinnosti sprostredkovateľa informovať objednávateľa o každom porušení ochrany osobných údajov.

Zodpovednosť a Náhrada Škody

Zmluva musí upravovať zodpovednosť sprostredkovateľa za škodu spôsobenú porušením zmluvy alebo GDPR. Mala by tiež stanoviť výšku náhrady škody.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

Ukončenie Zmluvy

Zmluva by mala obsahovať ustanovenia o ukončení zmluvy, vrátane podmienok, za ktorých môže byť zmluva ukončená. Po ukončení zmluvy je sprostredkovateľ povinný vrátiť alebo zlikvidovať všetky osobné údaje, ktoré spracúval na základe zmluvy.

Vzor Zmluvy Medzi Objednávateľom a Sprostredkovateľom GDPR

(Upozornenie: Nasledujúci vzor je len orientačný a je potrebné ho prispôsobiť konkrétnym potrebám a okolnostiam.)## Zmluva o spracovaní osobných údajov

uzavretá podľa článku 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR)

Medzi:## (1) Objednávateľ:

  • Názov: [Názov objednávateľa]
  • Sídlo: [Adresa sídla objednávateľa]
  • IČO: [IČO objednávateľa]
  • Zastúpený: [Meno a funkcia osoby oprávnenej konať za objednávateľa]
  • Kontaktná osoba pre GDPR: [Meno a kontaktné údaje kontaktnej osoby]

(2) Sprostredkovateľ:

  • Názov: [Názov sprostredkovateľa]
  • Sídlo: [Adresa sídla sprostredkovateľa]
  • IČO: [IČO sprostredkovateľa]
  • Zastúpený: [Meno a funkcia osoby oprávnenej konať za sprostredkovateľa]
  • Kontaktná osoba pre GDPR: [Meno a kontaktné údaje kontaktnej osoby]

(Ďalej spoločne len "Strany")## Článok 1## Predmet zmluvy

  1. Predmetom tejto zmluvy je úprava vzájomných práv a povinností Strán pri spracúvaní osobných údajov, ktoré Objednávateľ zveruje Sprostredkovateľovi na spracúvanie v rozsahu a za účelom stanoveným v tejto zmluve.
  2. Sprostredkovateľ sa zaväzuje spracúvať osobné údaje v mene Objednávateľa v súlade s Nariadením GDPR a touto zmluvou.

Článok 2## Rozsah spracúvania osobných údajov

  1. Účel spracúvania: [Presný popis účelu spracúvania osobných údajov, napr. vedenie účtovníctva, správa zákazníckej databázy, marketingové aktivity]
  2. Kategórie dotknutých osôb: [Zoznam kategórií dotknutých osôb, ktorých osobné údaje budú spracúvané, napr. zákazníci, zamestnanci, dodávatelia]
  3. Typy spracúvaných osobných údajov: [Zoznam typov osobných údajov, ktoré budú spracúvané, napr. meno, priezvisko, adresa, e-mail, telefónne číslo, bankové údaje]
  4. Doba spracúvania osobných údajov: [Doba, počas ktorej bude Sprostredkovateľ spracúvať osobné údaje. Doba by mala byť určená jasne, napr. po dobu trvania zmluvy, alebo po dobu nevyhnutnú na dosiahnutie účelu spracúvania]

Článok 3## Povinnosti Sprostredkovateľa

  1. Sprostredkovateľ sa zaväzuje spracúvať osobné údaje výlučne na základe doložených pokynov Objednávateľa. Ak Sprostredkovateľ zistí, že pokyn Objednávateľa je v rozpore s Nariadením GDPR, je povinný o tom Objednávateľa bezodkladne informovať.
  2. Sprostredkovateľ sa zaväzuje zabezpečiť, aby osoby oprávnené spracúvať osobné údaje boli zaviazané k mlčanlivosti alebo podliehali zákonnej povinnosti mlčanlivosti.
  3. Sprostredkovateľ sa zaväzuje prijať všetky opatrenia vyžadované článkom 32 Nariadenia GDPR, a to s ohľadom na stav techniky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, s cieľom zabezpečiť úroveň bezpečnosti zodpovedajúcu danému riziku.
  4. Sprostredkovateľ sa zaväzuje pomáhať Objednávateľovi prostredníctvom vhodných technických a organizačných opatrení, pokiaľ je to možné, plniť povinnosť Objednávateľa reagovať na žiadosti o výkon práv dotknutej osoby stanovených v kapitole III Nariadenia GDPR.
  5. Sprostredkovateľ sa zaväzuje pomáhať Objednávateľovi pri plnení povinností stanovených v článkoch 32 až 36 Nariadenia GDPR, a to s ohľadom na povahu spracúvania a informácie, ktoré má Sprostredkovateľ k dispozícii.
  6. Sprostredkovateľ sa zaväzuje na základe rozhodnutia Objednávateľa vymazať všetky osobné údaje alebo ich vrátiť Objednávateľovi po skončení poskytovania služieb spojených so spracúvaním a vymazať existujúce kópie, pokiaľ právo Únie alebo právo členského štátu nevyžaduje uchovávanie osobných údajov.
  7. Sprostredkovateľ sa zaväzuje poskytnúť Objednávateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožniť audity, vrátane inšpekcií, vykonávané Objednávateľom alebo iným audítorom povereným Objednávateľom, a prispieť k nim.
  8. Sprostredkovateľ sa zaväzuje bezodkladne informovať Objednávateľa, ak sa domnieva, že pokyn Objednávateľa porušuje Nariadenie GDPR alebo iné právne predpisy upravujúce ochranu osobných údajov.

Článok 4## Používanie subdodávateľov (sub-sprostredkovateľov)

  1. Sprostredkovateľ môže poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa (sub-sprostredkovateľa) len s predchádzajúcim písomným súhlasom Objednávateľa.
  2. V prípade, že Objednávateľ udelí súhlas s poverením sub-sprostredkovateľa, Sprostredkovateľ zabezpečí, aby sub-sprostredkovateľ spĺňal rovnaké povinnosti ochrany osobných údajov, ako sú stanovené v tejto zmluve.
  3. Sprostredkovateľ zodpovedá Objednávateľovi za konanie sub-sprostredkovateľa rovnako, ako keby konal sám.

Článok 5## Bezpečnostné opatrenia

  1. Sprostredkovateľ sa zaväzuje prijať a udržiavať vhodné technické a organizačné bezpečnostné opatrenia na ochranu osobných údajov pred náhodným alebo nezákonným zničením, stratou, zmenou, neoprávneným sprístupnením alebo prístupom.
  2. Tieto opatrenia zahŕňajú najmä: [Podrobný zoznam technických a organizačných opatrení, napr. šifrovanie údajov, zabezpečenie prístupu do systémov, pravidelné zálohovanie údajov, fyzická ochrana serverov, školenie zamestnancov]

Článok 6## Hlásenie bezpečnostných incidentov

  1. Sprostredkovateľ sa zaväzuje bezodkladne informovať Objednávateľa o každom porušení ochrany osobných údajov, a to najneskôr do 24 hodín od zistenia porušenia.
  2. Oznámenie o porušení ochrany osobných údajov musí obsahovať aspoň:
    • Popis povahy porušenia ochrany osobných údajov, vrátane, pokiaľ je to možné, kategórií a počtu dotknutých osôb a kategórií a počtu dotknutých záznamov osobných údajov;
    • Meno a kontaktné údaje zodpovednej osoby;
    • Popis pravdepodobných dôsledkov porušenia ochrany osobných údajov;
    • Popis opatrení, ktoré Sprostredkovateľ prijal alebo navrhuje prijať na nápravu porušenia ochrany osobných údajov, vrátane, ak je to vhodné, opatrení na zmiernenie jeho prípadných nepriaznivých dôsledkov.

Článok 7## Zodpovednosť za škodu

  1. Sprostredkovateľ zodpovedá Objednávateľovi za škodu spôsobenú porušením povinností vyplývajúcich z tejto zmluvy alebo z Nariadenia GDPR.
  2. Sprostredkovateľ sa zaväzuje nahradiť Objednávateľovi všetky náklady a škody, ktoré mu vzniknú v dôsledku porušenia povinností Sprostredkovateľa.

Článok 8## Trvanie a ukončenie zmluvy

  1. Táto zmluva sa uzatvára na dobu určitú, a to do [dátum].
  2. Zmluva môže byť ukončená písomnou dohodou Strán.
  3. Objednávateľ môže zmluvu vypovedať s okamžitou platnosťou, ak Sprostredkovateľ závažne poruší povinnosti vyplývajúce z tejto zmluvy alebo z Nariadenia GDPR.
  4. Po ukončení zmluvy je Sprostredkovateľ povinný vrátiť Objednávateľovi všetky osobné údaje, ktoré spracúval na základe tejto zmluvy, alebo ich na základe písomného pokynu Objednávateľa zlikvidovať.

Článok 9## Záverečné ustanovenia

  1. Táto zmluva sa riadi právnym poriadkom Slovenskej republiky.
  2. Akékoľvek zmeny a doplnenia tejto zmluvy sú platné len v písomnej forme.
  3. Táto zmluva je vyhotovená v dvoch rovnopisoch, z ktorých každá Strana obdrží jeden rovnopis.

V [Miesto], dňa [Dátum]

[Podpis Objednávateľa]

[Podpis Sprostredkovateľa]

Dôležitosť Pravidelnej Revízie Zmluvy

Vzhľadom na neustály vývoj v oblasti ochrany osobných údajov a meniacich sa požiadaviek GDPR je dôležité pravidelne revidovať zmluvu medzi objednávateľom a sprostredkovateľom. Revízia by mala byť vykonaná minimálne raz ročne, alebo vždy, keď dôjde k zmene v spracúvaní osobných údajov alebo v technických a organizačných opatreniach.

tags: #zmluva #medzi #objednávateľom #a #sprostredkovateľom #GDPR

Ďalšie články