- Kontaktujte nás / Centrála:
- 047 / 5511 200
- [email protected]
Zmluva o spracúvaní osobných údajov: Kľúčové aspekty a vzor pre účtovné doklady
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679, známe ako GDPR (General Data Protection Regulation), ktoré je účinné od 25. mája 2018, prinieslo významné zmeny v oblasti ochrany osobných údajov. GDPR zavádza nové práva pre fyzické osoby (dotknuté osoby) a nové povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb (prevádzkovateľa/sprostredkovateľa). Tento článok sa zameriava na zmluvu o spracúvaní osobných údajov v kontexte GDPR, jej náležitosti a praktické využitie, najmä v oblasti účtovných dokladov.
Kedy je potrebná zmluva o spracúvaní osobných údajov?
Podľa GDPR je zmluva o spracúvaní osobných údajov (sprostredkovateľská zmluva) potrebná vtedy, keď prevádzkovateľ poveruje spracúvaním osobných údajov inú osobu, teda sprostredkovateľa. Prevádzkovateľ môže spracúvať osobné údaje sám alebo ich spracúvaním poveriť ďalšiu osobu. Pri výbere sprostredkovateľa musí dbať predovšetkým na jeho odborné znalosti, technickú, organizačnú i personálnu spôsobilosť, ako aj na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov.
Poverenie sprostredkovateľa sa podľa GDPR vykonáva samostatnou špeciálnou zmluvou uzavretou medzi prevádzkovateľom a sprostredkovateľom v písomnej alebo elektronickej forme. Táto zmluva sa v praxi označuje ako zmluva o spracúvaní osobných údajov alebo aj tzv. sprostredkovateľská zmluva. Stretnúť sa však môžete aj s označením zmluva o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľom. Na jej uzatvorenie sa nevyžaduje súhlas dotknutej osoby.
Kto uzatvára zmluvu o spracúvaní osobných údajov?
Zmluvu o spracúvaní osobných údajov uzatvára prevádzkovateľ a sprostredkovateľ.
- Prevádzkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Jednoducho povedané, prevádzkovateľom je tá osoba, ktorá spracúva osobné údaje vo vlastnom mene, resp. sám pre seba (napr. keď zamestnávateľ spracúva osobné údaje svojich zamestnancov alebo keď podnikateľ spracúva osobné údaje svojich zákazníkov).
- Sprostredkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. To znamená, že sprostredkovateľ osobné údaje dotknutých osôb spracúva nie pre seba, ale pre niekoho iného, t. j. pre prevádzkovateľa - spravidla ako pre svojho klienta (napr. keď účtovník vedie účtovníctvo a mzdovú agendu pre inú obchodnú spoločnosť alebo keď poskytovateľ BOZP školí zamestnancov inej firmy).
Forma a náležitosti zmluvy o spracúvaní osobných údajov
Písomná zmluva o spracúvaní osobných údajov musí byť uzavretá ešte pred začatím spracúvania osobných údajov, najneskôr v deň začatia ich spracúvania sprostredkovateľom. Sprostredkovateľ následne môže spracúvať osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v písomnej sprostredkovateľskej zmluve.
Prečítajte si tiež: Vzor zmluvy o príspevku
GDPR v čl. 28 bod 3 ustanovuje, čo musí zmluva o spracúvaní osobných údajov (sprostredkovateľská zmluva) obsahovať:
- predmet a dobu spracúvania osobných údajov,
- povahu a účel spracúvania osobných údajov,
- typ osobných údajov (zoznam alebo rozsah osobných údajov),
- kategórie dotknutých osôb (okruh dotknutých osôb - napr. zákazníci),
- povinnosti a práva prevádzkovateľa,
- povinnosti sprostredkovateľa:
- spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa,
- poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií,
- vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov,
- dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa),
- poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností,
- zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.
Okrem vyššie uvedených náležitosti by zmluva o spracúvaní osobných údajov mala tiež zahŕňať:
- údaje o zmluvných stranách (označenie prevádzkovateľa a sprostredkovateľa),
- podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
- deň, od ktorého sprostredkovateľ môže začať osobné údaje v mene prevádzkovateľa spracúvať (najneskôr deň začatia spracúvania osobných údajov),
- vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov,
- dátum uzatvorenia zmluvy a podpisy zmluvných strán.
Zmluva o spracúvaní osobných údajov v kontexte účtovných dokladov
V praxi je sprostredkovateľská zmluva potrebná pri rôznych formách spolupráce podnikateľov, teda prevádzkovateľa a sprostredkovateľa. Najčastejšie sa využíva pri externom poskytovaní rôznych služieb sprostredkovateľom, napríklad: účtovných služieb.
Príklad: Spoločnosť X s.r.o. externe spolupracuje s účtovníckou kanceláriou Y s.r.o. za účelom vykonávania účtovníctva a miezd svojich zamestnancov. Na to, aby účtovnícka kancelária mohla spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., je potrebné uzavretie písomnej sprostredkovateľskej zmluvy medzi spoločnosťou X s.r.o. ako prevádzkovateľom a účtovníckou kanceláriou Y s.r.o. ako sprostredkovateľom. Účtovnícka kancelária na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy môže spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., bez ich súhlasu.
Spracúvanie osobných údajov sprostredkovateľom bez osobitnej sprostredkovateľskej zmluvy
Spracúvanie osobných údajov sprostredkovateľom sa v zmysle GDPR riadi buď zmluvou (tzv. sprostredkovateľskou zmluvou) alebo iným právnym úkonom. To znamená, že vyššie uvedené náležitosti sprostredkovateľskej zmluvy môžu byť obsiahnuté aj v inom právnom úkone, teda v inej než sprostredkovateľskej zmluve (napr. v zmluve o poskytovaní marketingových a reklamných služieb).
Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku
Príklad: Firma AB s.r.o má záujem využiť reklamné a marketingové služby spoločnosti KL s.r.o. Za tým účelom tieto firmy uzavrú zmluvu o poskytovaní marketingových a reklamných služieb, do obsahu ktorej môžu tiež zahrnúť náležitosti sprostredkovateľskej zmluvy ustanovené v čl. 28 bod 3 GDPR. Spoločnosť KL s.r.o. ako sprostredkovateľ tak bude spracúvať osobné údaje dotknutých osôb na základe zmluvy o poskytovaní marketingových a reklamných služieb. V takom prípade už spoločnosti nemusia osobitne uzatvárať sprostredkovateľskú zmluvu.
Zosúladenie existujúcich zmlúv s GDPR
Sprostredkovateľské zmluvy uzavreté do 25. mája 2018 je nutné zosúladiť s novými požiadavkami podľa GDPR a nového zákona o ochrane osobných údajov. Prípadne sa odporúča uzatvoriť nové zmluvy, pretože náležitosti sprostredkovateľskej zmluvy podľa GDPR sa značne líšia od požiadaviek pôvodného zákona o ochrane osobných údajov.
Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe