Zmluva o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľom: Komplexný sprievodca

Ochrana osobných údajov je v digitálnej dobe kľúčová. GDPR (General Data Protection Regulation), nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679, ktoré je účinné od 25. mája 2018, prináša nové práva pre fyzické osoby a povinnosti pre subjekty, ktoré spracúvajú ich osobné údaje. Tento článok sa zameriava na zmluvu o zabezpečení ochrany osobných údajov spracúvaných sprostredkovateľom, jej význam, náležitosti a praktické využitie.

Úvod do GDPR a ochrany osobných údajov

GDPR zaviedlo prísnejšie pravidlá pre spracúvanie osobných údajov, pričom kladie dôraz na transparentnosť, bezpečnosť a zodpovednosť. Osobné údaje sú akékoľvek informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby. Spracúvanie osobných údajov zahŕňa akúkoľvek operáciu alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi, ako je získavanie, zaznamenávanie, usporadúvanie, uchovávanie, upravovanie, vyhľadávanie, prenos, šírenie, vymazávanie alebo likvidácia.

Obchodné spoločnosti často spolupracujú s externými subjektmi, ktoré pri poskytovaní služieb spracúvajú osobné údaje dotknutých osôb. Ide napríklad o účtovné, mzdové, BOZP alebo reklamné služby. V takýchto prípadoch je nevyhnutné mať uzatvorenú zmluvu o spracúvaní osobných údajov, ktorá upravuje vzťah medzi prevádzkovateľom a sprostredkovateľom.

Prevádzkovateľ vs. Sprostredkovateľ

V zmysle GDPR môže podnikateľ vystupovať v dvoch pozíciách:

  • Prevádzkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov. Prevádzkovateľ spracúva osobné údaje vo vlastnom mene, napríklad zamestnávateľ spracúva osobné údaje svojich zamestnancov alebo podnikateľ spracúva osobné údaje svojich zákazníkov.
  • Sprostredkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Sprostredkovateľ spracúva osobné údaje nie pre seba, ale pre prevádzkovateľa, napríklad účtovník vedie účtovníctvo a mzdovú agendu pre inú obchodnú spoločnosť alebo poskytovateľ BOZP školí zamestnancov inej firmy.

Kedy je potrebná zmluva o spracúvaní osobných údajov?

Zmluva o spracúvaní osobných údajov (sprostredkovateľská zmluva) je potrebná vtedy, keď prevádzkovateľ poverí spracúvaním osobných údajov inú osobu, t. j. sprostredkovateľa. Prevádzkovateľ musí pri výbere sprostredkovateľa dbať na jeho odborné znalosti, technickú, organizačnú a personálnu spôsobilosť, ako aj na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov.

Prečítajte si tiež: Vzor zmluvy o príspevku

Poverenie sprostredkovateľa sa vykonáva samostatnou zmluvou uzatvorenou medzi prevádzkovateľom a sprostredkovateľom v písomnej alebo elektronickej forme. Táto zmluva sa označuje ako zmluva o spracúvaní osobných údajov alebo sprostredkovateľská zmluva. Na jej uzatvorenie sa nevyžaduje súhlas dotknutej osoby.

Písomná zmluva o spracúvaní osobných údajov musí byť uzavretá ešte pred začatím spracúvania osobných údajov, najneskôr v deň začatia ich spracúvania sprostredkovateľom. Sprostredkovateľ následne môže spracúvať osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v písomnej zmluve.

Náležitosti zmluvy o spracúvaní osobných údajov podľa GDPR

GDPR v článku 28 bod 3 ustanovuje obsahové náležitosti zmluvy o spracúvaní osobných údajov. Táto zmluva musí obsahovať:

  1. Predmet a dobu spracúvania osobných údajov: Jasné definovanie, aké osobné údaje sa budú spracúvať a ako dlho bude spracúvanie trvať.
  2. Povahu a účel spracúvania osobných údajov: Popis, prečo a akým spôsobom sa budú osobné údaje spracúvať.
  3. Typ osobných údajov: Zoznam alebo rozsah osobných údajov, ktoré budú spracúvané (napr. meno, priezvisko, adresa, e-mail, telefónne číslo).
  4. Kategórie dotknutých osôb: Okruh dotknutých osôb, ktorých osobné údaje sa budú spracúvať (napr. zákazníci, zamestnanci, dodávatelia).
  5. Povinnosti a práva prevádzkovateľa: Určenie práv a povinností prevádzkovateľa v súvislosti so spracúvaním osobných údajov.
  6. Povinnosti sprostredkovateľa:
    • Spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa.
    • Poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií.
    • Vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov.
    • Dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa).
    • Poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností.
    • Zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.

Okrem týchto náležitostí by zmluva mala obsahovať aj:

  • Údaje o zmluvných stranách: Označenie prevádzkovateľa a sprostredkovateľa (názov, sídlo, IČO, DIČ).
  • Podmienky spracúvania osobných údajov: Vrátane zoznamu povolených operácií s osobnými údajmi.
  • Deň začatia spracúvania osobných údajov: Dátum, od ktorého sprostredkovateľ môže začať spracúvať osobné údaje v mene prevádzkovateľa.
  • Vyhlásenie prevádzkovateľa: Že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov.
  • Dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Praktické využitie sprostredkovateľskej zmluvy

Sprostredkovateľská zmluva je potrebná pri rôznych formách spolupráce podnikateľov, kde sprostredkovateľ má prístup k osobným údajom dotknutých osôb. Najčastejšie sa využíva pri:

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

  • Účtovných službách
  • Reklamných službách
  • Marketingových službách
  • Právnych službách
  • Službách personálnych alebo cestovných agentúr
  • Službách BOZP
  • IT službách a webhostingových službách
  • SBS službách

Príklad: Spoločnosť X s.r.o. externe spolupracuje s účtovníckou kanceláriou Y s.r.o. za účelom vykonávania účtovníctva a miezd svojich zamestnancov. Na to, aby účtovnícka kancelária mohla spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., je potrebné uzavretie písomnej sprostredkovateľskej zmluvy medzi spoločnosťou X s.r.o. ako prevádzkovateľom a účtovníckou kanceláriou Y s.r.o. ako sprostredkovateľom. Účtovnícka kancelária na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy môže spracúvať osobné údaje zamestnancov spoločnosti X s.r.o., bez ich súhlasu.

Spracúvanie osobných údajov bez osobitnej zmluvy

Spracúvanie osobných údajov sprostredkovateľom sa v zmysle GDPR riadi buď zmluvou (sprostredkovateľskou zmluvou) alebo iným právnym úkonom. To znamená, že náležitosti sprostredkovateľskej zmluvy môžu byť obsiahnuté aj v inej zmluve (napr. v zmluve o poskytovaní marketingových a reklamných služieb).

Príklad: Firma AB s.r.o má záujem využiť reklamné a marketingové služby spoločnosti KL s.r.o. Za tým účelom tieto firmy uzavrú zmluvu o poskytovaní marketingových a reklamných služieb, do obsahu ktorej môžu tiež zahrnúť náležitosti sprostredkovateľskej zmluvy ustanovené v čl. 28 bod 3 GDPR. Spoločnosť KL s.r.o. ako sprostredkovateľ tak bude spracúvať osobné údaje dotknutých osôb na základe zmluvy o poskytovaní marketingových a reklamných služieb. V takom prípade už spoločnosti nemusia osobitne uzatvárať sprostredkovateľskú zmluvu.

Zosúladenie starších zmlúv s GDPR

Sprostredkovateľské zmluvy uzavreté do 25. mája 2018 je nutné zosúladiť s novými požiadavkami podľa GDPR. Odporúča sa uzatvoriť nové zmluvy, pretože náležitosti sprostredkovateľskej zmluvy podľa GDPR sa značne líšia od požiadaviek pôvodného zákona o ochrane osobných údajov.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

tags: #zmluva #o #zabezpečení #ochrany #osobných #údajov

Ďalšie články