Zmluva o poskytovaní služieb a ochrana osobných údajov v kontexte GDPR

Od 25. mája 2018 vstúpili do platnosti významné zmeny v oblasti ochrany osobných údajov. Tieto zmeny boli spôsobené zrušením zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a Smernice Európskeho parlamentu a Rady 95/46/ES. Uvedené predpisy nahradil nový zákon č. 18/2018 Z. z. o ochrane osobných údajov a NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), známe ako GDPR (General Data Protection Regulation).

GDPR a jeho vplyv na zmluvy o poskytovaní služieb

GDPR zavádza nové práva pre fyzické osoby (dotknuté osoby) a nové povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb (prevádzkovateľa/sprostredkovateľa). Obchodné spoločnosti často pri svojich podnikateľských aktivitách zmluvne spolupracujú s ďalšími subjektmi, ktorých cieľom je poskytovanie kvalitných služieb. Tieto subjekty počas výkonu svojej zmluvnej činnosti pre iné obchodné spoločnosti spracúvajú osobné údaje dotknutých osôb. Ide napríklad o služby účtovné a mzdové, služby v oblasti BOZP či reklamné služby. V zmysle GDPR môže podnikateľ pri spracúvaní osobných údajov dotknutých osôb vystupovať v pozícii prevádzkovateľa alebo sprostredkovateľa.

Kto je prevádzkovateľ a sprostredkovateľ?

• Prevádzkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Prevádzkovateľom je tá osoba, ktorá spracúva osobné údaje vo vlastnom mene, resp. sám pre seba (napr. keď zamestnávateľ spracúva osobné údaje svojich zamestnancov alebo keď podnikateľ spracúva osobné údaje svojich zákazníkov).
• Sprostredkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Sprostredkovateľ osobné údaje dotknutých osôb spracúva nie pre seba, ale pre niekoho iného, t. j. pre prevádzkovateľa - spravidla ako pre svojho klienta (napr. keď účtovník vedie účtovníctvo a mzdovú agendu pre inú obchodnú spoločnosť alebo keď poskytovateľ BOZP školí zamestnancov inej firmy).

Zmluva o spracúvaní osobných údajov (sprostredkovateľská zmluva)

Prevádzkovateľ môže spracúvať osobné údaje sám alebo môže ich spracúvaním poveriť ďalšiu osobu, t. j. sprostredkovateľa. Pri výbere sprostredkovateľa musí prevádzkovateľ dbať predovšetkým na jeho odborné znalosti, technickú, organizačnú i personálnu spôsobilosť ako aj na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov.

Poverenie sprostredkovateľa sa podľa GDPR vykonáva samostatnou špeciálnou zmluvou uzatvorenou medzi prevádzkovateľom a sprostredkovateľom v písomnej alebo elektronickej forme. Táto zmluva sa v praxi označuje ako zmluva o spracúvaní osobných údajov alebo aj tzv. sprostredkovateľská zmluva. Stretnúť sa však môžete aj s označením zmluva o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľom. Na jej uzatvorenie sa nevyžaduje súhlas dotknutej osoby. Spracúvanie osobných údajov sprostredkovateľom sa tiež môže riadiť iným právnym úkonom než sprostredkovateľskou zmluvou. Písomná zmluva o spracúvaní osobných údajov musí byť uzavretá ešte pred začatím spracúvania osobných údajov, najneskôr v deň začatia ich spracúvania sprostredkovateľom. Sprostredkovateľ následne môže spracúvať osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v písomnej sprostredkovateľskej zmluve.

Obsahové náležitosti zmluvy o spracúvaní osobných údajov

GDPR rozširuje pôvodné obsahové náležitosti zmluvy o spracúvaní osobných údajov a ustanovuje ich v čl. 28 bod 3 (§ 34 nového zákona o ochrane osobných údajov), podľa ktorého sprostredkovateľská zmluva musí obsahovať:

Prečítajte si tiež: Vzor zmluvy o príspevku

• predmet a dobu spracúvania osobných údajov,
• povahu a účel spracúvania osobných údajov,
• typ osobných údajov (zoznam alebo rozsah osobných údajov),
• kategórie dotknutých osôb (okruh dotknutých osôb - napr. zákazníci),
• povinnosti a práva prevádzkovateľa,
• povinnosti sprostredkovateľa:
  • spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa,
  • poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií,
  • vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov,
  • dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa),
  • poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností,
  • zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.

Okrem vyššie uvedených náležitosti netreba zabúdať, že zmluva o spracúvaní osobných údajov by mala tiež zahŕňať:

• údaje o zmluvných stranách (označenie prevádzkovateľa a sprostredkovateľa),
• podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
• deň, od ktorého sprostredkovateľ môže začať osobné údaje v mene prevádzkovateľa spracúvať (najneskôr deň začatia spracúvania osobných údajov),
• vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov,
• dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Zmluvy uzavreté pred účinnosťou GDPR (do 25. mája 2018) je nevyhnutné zosúladiť s novými požiadavkami podľa GDPR a nového zákona o ochrane osobných údajov. Prípadne sa odporúča uzatvoriť nové zmluvy, pretože náležitosti sprostredkovateľskej zmluvy podľa GDPR sa značne líšia od požiadaviek pôvodného zákona o ochrane osobných údajov.

Kedy je potrebná zmluva o spracúvaní osobných údajov?

V praxi je sprostredkovateľská zmluva potrebná pri rôznych formách spolupráce podnikateľov, teda prevádzkovateľa a sprostredkovateľa. Najčastejšie sa využíva pri externom poskytovaní rôznych služieb sprostredkovateľom, napríklad:

• účtovných služieb,
• reklamných služieb,
• marketingových služieb,
• právnych služieb,
• služieb personálnych alebo cestovných agentúr,
• služieb BOZP,
• IT služieb a webhostingových služieb,
• SBS služieb,

pri ktorých má sprostredkovateľ prístup k osobným údajom dotknutých osôb.

Príklad: Spoločnosť X s.r.o. externe spolupracuje s účtovníckou kanceláriou Y s.r.o. za účelom vykonávania účtovníctva a miezd svojich zamestnancov. Na to, aby účtovnícka kancelária mohla spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., je potrebné uzavretie písomnej sprostredkovateľskej zmluvy medzi spoločnosťou X s.r.o. ako prevádzkovateľom a účtovníckou kanceláriou Y s.r.o. ako sprostredkovateľom. Účtovnícka kancelária na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy môže spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., bez ich súhlasu.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Spracúvanie osobných údajov bez osobitnej zmluvy

Spracúvanie osobných údajov sprostredkovateľom sa v zmysle GDPR riadi buď zmluvou (tzv. sprostredkovateľskou zmluvou) alebo iným právnym úkonom. To znamená, že vyššie uvedené náležitosti sprostredkovateľskej zmluvy môžu byť obsiahnuté aj v inom právnom úkone, teda v inej než sprostredkovateľskej zmluve (napr. v zmluve o poskytovaní marketingových a reklamných služieb).

Príklad: Firma AB s.r.o má záujem využiť reklamné a marketingové služby spoločnosti KL s.r.o. Za tým účelom tieto firmy uzavrú zmluvu o poskytovaní marketingových a reklamných služieb, do obsahu ktorej môžu tiež zahrnúť náležitosti sprostredkovateľskej zmluvy ustanovené v čl. 28 bod 3 GDPR. Spoločnosť KL s.r.o. ako sprostredkovateľ tak bude spracúvať osobné údaje dotknutých osôb na základe zmluvy o poskytovaní marketingových a reklamných služieb. V takom prípade už spoločnosti nemusia osobitne uzatvárať sprostredkovateľskú zmluvu.

Ďalšie povinnosti prevádzkovateľa

Okrem uzatvárania zmlúv so sprostredkovateľmi má prevádzkovateľ aj ďalšie povinnosti v súvislosti s ochranou osobných údajov. Medzi ne patrí:

• Vypracovanie dokumentácie: Prevádzkovateľ je v súvislosti s účinnosťou zákona č. 18/2018 Z. z. o ochrane osobných údajov povinný vypracovať novú dokumentáciu. Vzorová dokumentácia podľa nariadenia GDPR a zákona č. 18/2018 Z. z.
• Zavedenie špecifickej ochrany osobných údajov: Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12 zákona č. 18/2018 Z.
• Informačná povinnosť: V prípade, že prevádzkovateľ od dotknutej osoby získava osobné údaje, má voči nej tzv. informačnú povinnosť.
• Interná smernica: Prevádzkovateľ by mal s ohľadom na spracovateľské činnosti, pokiaľ je to primerané, zaviesť internú smernicu, ktorá by sa v jeho podmienkach vzťahovala na zabezpečenie a ochranu osobných údajov. V smernici môže upraviť všetko, čo považuje za potrebné a primerané k ochrane osobných údajov v jeho podmienkach, pričom sa pohybuje v medziach zákona.
• Záznamy o spracovateľských činnostiach: Úrad na ochranu osobných údajov SR je povinný zverejniť vzor Záznamov o spracovateľských činnostiach. Tento vzor je len pre informáciu, čo všetko má Záznam obsahovať a prevádzkovateľ má možnosť si ho vytvoriť podľa seba so všetkými zákonnými náležitosťami.
• Rešpektovanie práv dotknutých osôb: Zákon o ochrane osobných údajov taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov na základe toho, že dotknutá osoba uplatnila právo podľa čl. Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie.
• Súhlas so spracovaním osobných údajov: Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov. GDPR nepredpisuje žiadnu formu pre súhlas so spracovaním osobných údajov. Súhlas so spracovaním osobných údajov je v súčasnosti najvyužívanejším spôsobom na získavanie a spracúvanie osobných údajov.
• Zodpovedná osoba: Zodpovedná osoba je osobou, ktorú za určitých špecifických situácií musí prevádzkovateľ alebo sprostredkovateľ poveriť s cieľom plnenia úloh podľa čl. 38 GDPR. Určenie, postavenie a úlohy zodpovednej osoby sú prioritne upravené v čl. 37 a nasl. GDPR a v § 44 až § 46 zákona č. 18/2018 Z.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

tags: #zmluva #o #poskytovani #sluzieb #vzor #ochrana