Zmluva o spracúvaní osobných údajov podľa GDPR: Vzor a vysvetlenia pre účtovníkov

Ochrana osobných údajov je v súčasnosti mimoriadne dôležitá. Dotýka sa každého, vrátane účtovníkov, ktorí denne pracujú s citlivými informáciami. Tento článok sa venuje spracúvaniu osobných údajov účtovníkmi, poskytuje vzor zmluvy o spracúvaní osobných údajov sprostredkovateľom a vysvetľuje jednotlivé body zmluvy.

Dôležitosť ochrany osobných údajov

Recitál Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len ako „nariadenie GDPR“), zdôrazňuje, že ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. Vychádza sa z článku 8 ods. 1 Charty základných práv Európskej únie a z článku 16 ods. 1 Zmluvy o fungovaní Európskej únie. Oba tieto články jasne stanovujú právo každého na ochranu osobných údajov, ktoré sa ho týkajú. Z uvedeného vyplýva, že ochrana osobných údajov je nesmierne dôležitá a vyžaduje si komplexný prístup.

Nariadenie GDPR uvádza, že spracúvanie osobných údajov by malo slúžiť ľudstvu. Právo na ochranu osobných údajov nie je absolútne a musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti. Každé spracúvanie osobných údajov v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo vykonávať v súlade s týmto nariadením, bez ohľadu na to, či sa samotné spracúvanie uskutočňuje v Únii. Prevádzkareň je potrebné vnímať ako efektívny a skutočný výkon činnosti prostredníctvom stálych dojednaní.

Účtovníci a spracúvanie osobných údajov

Účtovníci sú podnikatelia a zároveň osoby, ktoré denne pracujú s osobnými údajmi. Majú prístup k faktúram, ktoré obsahujú osobné údaje zákazníkov, a tiež k údajom zamestnancov. Z tohto dôvodu je pre nich kľúčové, aby problematiku spracúvania osobných údajov dôkladne poznali a dodržiavali všetky relevantné predpisy.

Zmluva o spracúvaní osobných údajov sprostredkovateľom

Zmluva o spracúvaní osobných údajov sprostredkovateľom sa uzatvára podľa ustanovení čl. 28 nariadenia GDPR a § 34 a nasl. zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Prečítajte si tiež: Vzor zmluvy o príspevku

Prevádzkovateľ je ten, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov a určí podmienky spracúvania. Napríklad podnikateľ má vopred stanovený zámer svojho podnikania, ako je kúpa a predaj tovaru konečnému spotrebiteľovi, a teda účelom spracúvania osobných údajov bude uzatvorenie zmluvy. Taktiež spracúva osobné údaje svojich zamestnancov.

Sprostredkovateľ je každá osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve a v súlade so zákonom.

Nariadenie GDPR, ako aj zákon o ochrane osobných údajov uvádzajú, že spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Ide o nezáväzný vzor, ktorý môžu prevádzkovatelia a sprostredkovatelia používať, aby si splnili povinnosť uzavrieť sprostredkovateľskú zmluvu podľa čl. 28 všeobecného nariadenia o ochrane údajov.

Kľúčové prvky zmluvy o spracúvaní osobných údajov

Zmluva o spracúvaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom musí obsahovať nasledovné:

• Predmet a doba spracúvania: Definuje, aké osobné údaje a na aký účel sa budú spracúvať, a na aké obdobie.
• Povaha a účel spracúvania: Podrobne špecifikuje povahu spracovateľských operácií (napr. zber, uchovávanie, úprava) a účel, na ktorý sa osobné údaje spracúvajú.
• Typ osobných údajov a kategórie dotknutých osôb: Uvádza, aké typy osobných údajov (napr. meno, adresa, rodné číslo) sa budú spracúvať a ktorých osôb sa to týka (napr. zákazníci, zamestnanci).
• Povinnosti a práva prevádzkovateľa: Definuje povinnosti sprostredkovateľa voči prevádzkovateľovi, ako aj práva prevádzkovateľa v súvislosti so spracúvaním osobných údajov.

Povinnosti prevádzkovateľa

Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12 zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov. GDPR nepredpisuje žiadnu formu pre súhlas so spracovaním osobných údajov.

Prevádzkovateľ je v súvislosti s účinnosťou zákona č. 18/2018 Z. z. o ochrane osobných údajov povinný vypracovať novú dokumentáciu.

Povinnosti sprostredkovateľa

Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa.

Práva dotknutých osôb

Zákon o ochrane osobných údajov taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov na základe toho, že dotknutá osoba uplatnila právo podľa čl. 18 všeobecného nariadenia o ochrane údajov. Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie.

Čl. 13 všeobecného nariadenia o ochrane údajov ustanovuje tzv. informačnú povinnosť prevádzkovateľa.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

Záznamy o spracovateľských činnostiach

Úrad na ochranu osobných údajov SR podľa § 37 ods. 6 zákona č. 18/2018 Z. z. o ochrane osobných údajov je povinný zverejniť vzor Záznamov o spracovateľských činnostiach. Tento vzor je len pre informáciu, čo všetko má Záznam obsahovať a sprostredkovateľ/prevádzkovateľ má možnosť si ho vytvoriť podľa seba so všetkými zákonnými náležitosťami.

Zodpovedná osoba

Určenie, postavenie a úlohy zodpovednej osoby sú prioritne upravené v čl. 37 a nasl. GDPR a v § 44 až § 46 zákona č. 18/2018 Z. z.

Štandardné zmluvné doložky

Prijaté štandardné zmluvné doložky pre sprostredkovateľov predstavujú súbor záruk, ktoré sa majú použiť v tom znení, v akom boli prijaté, keďže ich cieľom je ochrana dotknutých osôb a zmiernenie špecifických rizík súvisiacich so základnými zásadami ochrany údajov. Tieto štandardné zmluvné doložky nie je možné použiť na prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii.

Porušenie ochrany osobných údajov

Čl. 33 všeobecného nariadenia o ochrane údajov upravuje dokumentáciu v prípade porušenia ochrany osobných údajov a ohlásenie Úradu o porušení ochrany osobných údajov.

tags: #zmluva #o #spracovani #osobnych #udajov #gdpr