Zmluva medzi prevádzkovateľom a sprostredkovateľom v kontexte GDPR

Spracúvanie osobných údajov je v súčasnosti vysoko aktuálna téma, ktorá sa dotýka prakticky každej organizácie a jednotlivca. V kontexte ochrany osobných údajov zohráva kľúčovú úlohu zmluva medzi prevádzkovateľom a sprostredkovateľom. Táto zmluva, alebo iný právny akt, upravuje vzájomné vzťahy a povinnosti týchto subjektov pri spracúvaní osobných údajov v súlade s GDPR (General Data Protection Regulation), teda Nariadením Európskeho parlamentu a Rady (EÚ) č. 2016/679.

Úvod do problematiky GDPR a ochrany osobných údajov

Ochrana osobných údajov je základným právom každej fyzickej osoby. Toto právo je zakotvené v článku 8 ods. 1 Charty základných práv Európskej únie a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie. GDPR, účinné od 25. mája 2018, zavádza nové práva pre fyzické osoby (dotknuté osoby) a nové povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb (prevádzkovateľa/sprostredkovateľa).

Kto je prevádzkovateľ a sprostredkovateľ?

V zmysle GDPR môže podnikateľ pri spracúvaní osobných údajov dotknutých osôb vystupovať v pozícii prevádzkovateľa alebo sprostredkovateľa.

  • Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Prevádzkovateľom je tá osoba, ktorá spracúva osobné údaje vo vlastnom mene, resp. sám pre seba (napr. keď zamestnávateľ spracúva osobné údaje svojich zamestnancov alebo keď podnikateľ spracúva osobné údaje svojich zákazníkov).
  • Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. To znamená, že sprostredkovateľ osobné údaje dotknutých osôb spracúva nie pre seba, ale pre niekoho iného, t. j. pre prevádzkovateľa - spravidla ako pre svojho klienta (napr. keď účtovník vedie účtovníctvo a mzdovú agendu pre inú obchodnú spoločnosť alebo keď poskytovateľ BOZP školí zamestnancov inej firmy).

Zmluva o spracúvaní osobných údajov (sprostredkovateľská zmluva) podľa GDPR

Ak prevádzkovateľ poverí spracúvaním osobných údajov sprostredkovateľa, je nevyhnutné uzatvoriť zmluvu o spracúvaní osobných údajov, ktorá sa v praxi označuje aj ako sprostredkovateľská zmluva alebo zmluva o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľom. Na jej uzatvorenie sa nevyžaduje súhlas dotknutej osoby.

Prevádzkovateľ musí pri výbere sprostredkovateľa dbať predovšetkým na jeho odborné znalosti, technickú, organizačnú i personálnu spôsobilosť ako aj na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov. Poverenie sprostredkovateľa sa vykonáva samostatnou špeciálnou zmluvou uzatvorenou medzi prevádzkovateľom a sprostredkovateľom v písomnej alebo elektronickej forme. Písomná zmluva o spracúvaní osobných údajov musí byť uzavretá ešte pred začatím spracúvania osobných údajov, najneskôr v deň začatia ich spracúvania sprostredkovateľom. Sprostredkovateľ následne môže spracúvať osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v písomnej sprostredkovateľskej zmluve.

Prečítajte si tiež: Vzor zmluvy o príspevku

Náležitosti zmluvy o spracúvaní osobných údajov

GDPR rozširuje obsahové náležitosti zmluvy o spracúvaní osobných údajov a ustanovuje ich v čl. 28 bod 3, podľa ktorého sprostredkovateľská zmluva musí obsahovať:

  • predmet a dobu spracúvania osobných údajov,
  • povahu a účel spracúvania osobných údajov,
  • typ osobných údajov (zoznam alebo rozsah osobných údajov),
  • kategórie dotknutých osôb (okruh dotknutých osôb - napr. zákazníci),
  • povinnosti a práva prevádzkovateľa,
  • povinnosti sprostredkovateľa:
    • spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa,
    • poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií,
    • vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov,
    • dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa),
    • poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností,
    • zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.

Okrem vyššie uvedených náležitosti, zmluva o spracúvaní osobných údajov by mala tiež zahŕňať:

  • údaje o zmluvných stranách (označenie prevádzkovateľa a sprostredkovateľa),
  • podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
  • deň, od ktorého sprostredkovateľ môže začať osobné údaje v mene prevádzkovateľa spracúvať (najneskôr deň začatia spracúvania osobných údajov),
  • vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov,
  • dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Zmluvy uzavreté pred účinnosťou GDPR (25. mája 2018) je nutné zosúladiť s novými požiadavkami. Prípadne sa odporúča uzatvoriť nové zmluvy, pretože náležitosti sprostredkovateľskej zmluvy podľa GDPR sa značne líšia od požiadaviek pôvodného zákona o ochrane osobných údajov.

Kedy je potrebná zmluva o spracúvaní osobných údajov?

V praxi je sprostredkovateľská zmluva potrebná pri rôznych formách spolupráce podnikateľov, teda prevádzkovateľa a sprostredkovateľa. Najčastejšie sa využíva pri externom poskytovaní rôznych služieb sprostredkovateľom, napríklad:

  • účtovných služieb,
  • reklamných služieb,
  • marketingových služieb,
  • právnych služieb,
  • služieb personálnych alebo cestovných agentúr,
  • služieb BOZP,
  • IT služieb a webhostingových služieb,
  • SBS služieb,

pri ktorých má sprostredkovateľ prístup k osobným údajom dotknutých osôb.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Príklad

Spoločnosť X s.r.o. externe spolupracuje s účtovníckou kanceláriou Y s.r.o. za účelom vykonávania účtovníctva a miezd svojich zamestnancov. Na to, aby účtovnícka kancelária mohla spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., je potrebné uzavretie písomnej sprostredkovateľskej zmluvy medzi spoločnosťou X s.r.o. ako prevádzkovateľom a účtovníckou kanceláriou Y s.r.o. ako sprostredkovateľom. Účtovnícka kancelária na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy môže spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., bez ich súhlasu.

Spracúvanie osobných údajov bez osobitnej zmluvy

Spracúvanie osobných údajov sprostredkovateľom sa v zmysle GDPR riadi buď zmluvou (tzv. sprostredkovateľskou zmluvou) alebo iným právnym úkonom. To znamená, že vyššie uvedené náležitosti sprostredkovateľskej zmluvy môžu byť obsiahnuté aj v inom právnom úkone, teda v inej než sprostredkovateľskej zmluve (napr. v zmluve o poskytovaní marketingových a reklamných služieb).

Príklad

Firma AB s.r.o má záujem využiť reklamné a marketingové služby spoločnosti KL s.r.o. Za tým účelom tieto firmy uzavrú zmluvu o poskytovaní marketingových a reklamných služieb, do obsahu ktorej môžu tiež zahrnúť náležitosti sprostredkovateľskej zmluvy ustanovené v čl. 28 bod 3 GDPR. Spoločnosť KL s.r.o. ako sprostredkovateľ tak bude spracúvať osobné údaje dotknutých osôb na základe zmluvy o poskytovaní marketingových a reklamných služieb. V takom prípade už spoločnosti nemusia osobitne uzatvárať sprostredkovateľskú zmluvu.

Štandardné zmluvné doložky

Práve štandardné zmluvné doložky medzi prevádzkovateľmi a sprostredkovateľmi podľa čl. 28 ods. 7 všeobecného nariadenia o ochrane údajov prijala Európska komisia 4. júna 2021. Komisia na prijatie využila VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2021/915 zo 4. júna 2021 o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi podľa článku 28 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a článku 29 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725.

Prevádzkovateľ a sprostredkovateľ si môžu vybrať použitie individuálnej zmluvy alebo štandardných zmluvných doložiek, ktoré prijme buď priamo komisia, alebo ktoré prijme dozorný orgán v súlade s mechanizmom konzistentnosti a následne ich prijme komisia.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

Povinnosti sprostredkovateľa

Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia.

Sprostredkovateľ poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

tags: #zmluva #medzi #prevádzkovateľom #a #sprostredkovateľom #vzor

Ďalšie články