Zmluva o poverení spracúvaním osobných údajov: Vzor a kľúčové aspekty

S účinnosťou zákona č. 18/2018 Z. z. o ochrane osobných údajov, ktorý zosúladil slovenské právo s nariadením GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679), nastali významné zmeny v oblasti spracúvania osobných údajov. Tento článok sa zameriava na zmluvu o poverení spracúvaním osobných údajov, známu aj ako sprostredkovateľská zmluva, ktorá je kľúčová pre zabezpečenie súladu s GDPR pri spracúvaní osobných údajov externými subjektmi.

Úvod do problematiky ochrany osobných údajov

Od 25. mája 2018 vstúpila do platnosti nová legislatíva v oblasti ochrany osobných údajov, ktorá nahradila zákon č. 122/2013 Z. z. a Smernicu Európskeho parlamentu a Rady 95/46/ES. Nový zákon č. 18/2018 Z. z. o ochrane osobných údajov a NARIADENIE EURÓPSKEHO PAR­LA­MENTU A RADY (EÚ) 2016/679 priniesli so sebou nové povinnosti pre prevádzkovateľov, ktorí sú povinní vypracovať novú dokumentáciu a zaviesť špecificky navrhnutú ochranu osobných údajov.

Kto je prevádzkovateľ a sprostredkovateľ?

V zmysle GDPR môže podnikateľ pri spracúvaní osobných údajov dotknutých osôb vystupovať v pozícii prevádzkovateľa alebo sprostredkovateľa.

  • Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Inými slovami, je to osoba, ktorá spracúva osobné údaje vo vlastnom mene, napríklad zamestnávateľ spracúva osobné údaje svojich zamestnancov alebo podnikateľ spracúva osobné údaje svojich zákazníkov.

  • Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Sprostredkovateľ teda osobné údaje dotknutých osôb spracúva nie pre seba, ale pre niekoho iného, t. j. pre prevádzkovateľa, zvyčajne ako pre svojho klienta. Napríklad, účtovník vedie účtovníctvo a mzdovú agendu pre inú obchodnú spoločnosť alebo poskytovateľ BOZP školí zamestnancov inej firmy.

    Prečítajte si tiež: Vzor zmluvy o príspevku

Zmluva o spracúvaní osobných údajov (Sprostredkovateľská zmluva)

Ak prevádzkovateľ poverí spracúvaním osobných údajov sprostredkovateľa, je potrebné uzatvoriť zmluvu o spracúvaní osobných údajov, resp. sprostredkovateľskú zmluvu. Na jej uzatvorenie sa nevyžaduje súhlas dotknutej osoby.

Kedy je potrebná sprostredkovateľská zmluva?

V praxi je sprostredkovateľská zmluva potrebná pri rôznych formách spolupráce podnikateľov, teda prevádzkovateľa a sprostredkovateľa. Najčastejšie sa využíva pri externom poskytovaní rôznych služieb sprostredkovateľom, napríklad:

  • Účtovných služieb
  • Reklamných služieb
  • Marketingových služieb
  • Právnych služieb
  • Služieb personálnych alebo cestovných agentúr
  • Služieb BOZP
  • IT služieb a webhostingových služieb
  • SBS služieb, pri ktorých má sprostredkovateľ prístup k osobným údajom dotknutých osôb.

Príklad: Spoločnosť X s.r.o. externe spolupracuje s účtovníckou kanceláriou Y s.r.o. za účelom vykonávania účtovníctva a miezd svojich zamestnancov. Na to, aby účtovnícka kancelária mohla spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., je potrebné uzavretie písomnej sprostredkovateľskej zmluvy medzi spoločnosťou X s.r.o. ako prevádzkovateľom a účtovníckou kanceláriou Y s.r.o. ako sprostredkovateľom. Účtovnícka kancelária na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy môže spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., bez ich súhlasu.

Náležitosti zmluvy o spracúvaní osobných údajov

Pôvodné obsahové náležitosti zmluvy o spracúvaní osobných údajov GDPR od 25. 5. rozširuje a ustanovuje ich v čl. 28 bod 3 (§ 34 nového zákona o ochrane osobných údajov), podľa ktorého sprostredkovateľská zmluva musí obsahovať:

  1. Predmet a dobu spracúvania osobných údajov.

    Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

  2. Povahu a účel spracúvania osobných údajov.

  3. Typ osobných údajov (zoznam alebo rozsah osobných údajov).

  4. Kategórie dotknutých osôb (okruh dotknutých osôb - napr. zákazníci).

  5. Povinnosti a práva prevádzkovateľa.

  6. Povinnosti sprostredkovateľa:

    Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

    • Spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa.
    • Poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií.
    • Vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov.
    • Dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa).
    • Poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností.
    • Zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.

Okrem vyššie uvedených náležitosti netreba zabúdať, že zmluva o spracúvaní osobných údajov by mala tiež zahŕňať:

  • Údaje o zmluvných stranách (označenie prevádzkovateľa a sprostredkovateľa).
  • Podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi.
  • Deň, od ktorého sprostredkovateľ môže začať osobné údaje v mene prevádzkovateľa spracúvať (najneskôr deň začatia spracúvania osobných údajov).
  • Vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov.
  • Dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Spracúvanie osobných údajov sprostredkovateľom bez osobitnej zmluvy

Spracúvanie osobných údajov sprostredkovateľom sa v zmysle GDPR riadi buď zmluvou (tzv. sprostredkovateľskou zmluvou) alebo iným právnym úkonom. To znamená, že vyššie uvedené náležitosti sprostredkovateľskej zmluvy môžu byť obsiahnuté aj v inom právnom úkone, teda v inej než sprostredkovateľskej zmluve (napr. v zmluve o poskytovaní marketingových a reklamných služieb).

Príklad: Firma AB s.r.o má záujem využiť reklamné a marketingové služby spoločnosti KL s.r.o. Za tým účelom tieto firmy uzavrú zmluvu o poskytovaní marketingových a reklamných služieb, do obsahu ktorej môžu tiež zahrnúť náležitosti sprostredkovateľskej zmluvy ustanovené v čl. 28 bod 3 GDPR. Spoločnosť KL s.r.o. ako sprostredkovateľ tak bude spracúvať osobné údaje dotknutých osôb na základe zmluvy o poskytovaní marketingových a reklamných služieb. V takom prípade už spoločnosti nemusia osobitne uzatvárať sprostredkovateľskú zmluvu.

Čo robiť so starými zmluvami?

Sprostredkovateľské zmluvy uzavreté do 25. 5. 2018 je nutné zosúladiť s novými požiadavkami podľa GDPR a nového zákona o ochrane osobných údajov. Prípadne sa odporúča uzatvoriť nové zmluvy, pretože náležitosti sprostredkovateľskej zmluvy podľa GDPR sa značne líšia od požiadaviek pôvodného zákona o ochrane osobných údajov.

Ďalšie povinnosti prevádzkovateľa

Okrem uzatvorenia sprostredkovateľskej zmluvy má prevádzkovateľ aj ďalšie povinnosti, medzi ktoré patrí:

  • Informačná povinnosť: V prípade, že prevádzkovateľ získava osobné údaje od dotknutej osoby, má voči nej tzv. informačnú povinnosť.
  • Záznam o spracovateľských činnostiach: Každý prevádzkovateľ alebo zástupca prevádzkovateľa má povinnosť viesť záznam o spracovateľskej činnosti (ďalej len „záznam“) a to buď v papierovej alebo elektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba. Na požiadanie úradu je prevádzkovateľ alebo zástupca prevádzkovateľa povinný sprístupniť záznam úradu.
  • Interná smernica: Prevádzkovateľ by mal s ohľadom na spracovateľské činnosti, pokiaľ je to primerané, zaviesť internú smernicu, ktorá by sa v jeho podmienkach vzťahovala na zabezpečenie a ochranu osobných údajov.

Vzorové dokumenty a zdroje informácií

Pre zjednodušenie aplikácie nových pravidiel ochrany osobných údajov a uplatňovanie GDPR v praxi existuje množstvo vzorových dokumentov a zdrojov informácií. Úrad na ochranu osobných údajov SR podľa § 37 ods. 6 zákona č. 18/2018 Z. z. o ochrane osobných údajov je povinný zverejniť vzory Záznamov o spracovateľských činnostiach. Niektoré vzory dokumentov môžete nájsť aj na samotných stránkach spoločností poskytujúcich odborné služby a poradenstvo v oblasti GDPR.

Medzi vzorové dokumenty patria napríklad:

  • Interná smernica spoločnosti v oblasti ochrany osobných údajov a GDPR
  • Záznam o kategóriách spracovateľských činnostiach sprostredkovateľa
  • Žiadosť a formulár na obmedzenie spracúvania osobných údajov
  • Žiadosť dotknutej osoby o výmaz jej osobných údajov
  • Súhlas so spracovaním osobných údajov
  • Sprostredkovateľská zmluva GDPR
  • Poverenie zodpovednej osoby GDPR výkonom dohľadu nad ochranou osobných údajov
  • Námietka proti spracovaniu osobných údajov prevádzkovateľa
  • Informačná povinnosť prevádzkovateľa spoločnosti

tags: #zmluva #o #povereni #spracovanim #osobnych #udajov

Ďalšie články