Všetko, čo potrebujete vedieť o zmluve so sprostredkovateľom spracúvania osobných údajov! - Domov dôchodcov a Domov sociálnych služieb Tornaľa

21. March 2026

Ochrana osobných údajov je v súčasnosti kľúčovou témou, ktorá sa dotýka každého jednotlivca aj organizácie. Vzhľadom na komplexnosť právnych predpisov, ako je Nariadenie GDPR a zákon č. 18/2018 Z. z., je dôležité mať jasno v povinnostiach a právach prevádzkovateľov a sprostredkovateľov osobných údajov. Tento článok poskytuje komplexný pohľad na zmluvy so sprostredkovateľmi spracúvania osobných údajov, ich náležitosti a význam v kontexte ochrany osobných údajov.

Povinnosti Prevádzkovateľa v Zmysle Zákona o Ochrane Osobných Údajov

Zo znenia zákona o ochrane osobných údajov vyplýva pre prevádzkovateľa povinnosť prijať viacero písomných dokumentov. Prijaté dokumenty museli obsahovať prehlásenie prevádzkovateľa o bezpečnosti spracúvaných osobných údajoch. Základným dokumentom bol podľa predchádzajúcej právnej úpravy (účinnej do 25.05.2018) bezpečnostný projekt, ktoré vzor resp. osnovu čo všetko musel obsahovať, Vám v tejto časti poskytujeme k stiahnutiu. Prevádzkovatelia teda museli mať vypracovaný projekt v prípadoch, kedy tak stanovoval zákon. Súhlas so spracovaním osobných údajov mohla dotknutá osoba udeliť písomne, alebo iným preukázateľným spôsobom. Vzor súhlasu na spracovanie osobných údajov Vám poskytujeme k stiahnutiu nižšie. Súhlas dotknutej osoby musí obsahovať zákonom predpísané náležitosti. Výslovne musí byť uvedený prejav dotknutej osoby a to súhlasím so spracúvaním. Prevádzkovateľ si môže od dotknutej osoby vyžiadať písomný súhlas. Tento súhlas musí obsahovať vyhlásenie dotknutej osoby. Súhlas o spracovaní osobných údajov môže byť udelený aj elektronicky napríklad pri nákupe cez e-shop.

Nariadenie GDPR a Písomné Dokumenty

Nariadenie GDPR vo viacerých svojich článkoch stanovuje, aké dokumenty je prevádzkovateľ povinný zabezpečiť v písomnej forme. Napr. v Článku 7 ods. 2 uvádza, že ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho.

Zmluva Medzi Prevádzkovateľom a Sprostredkovateľom Podľa GDPR

Vo vzťahu medzi prevádzkovateľom a sprostredkovateľom je v Článku 28 ods. 3 nariadenia GDPR uvedené, že spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.

Zmluvy Uzatvárané s Fyzickou Osobou a Ochrana Osobných Údajov

Tento článok sa venuje zmluvám, ktoré sú uzatvárané s fyzickou osobou. Z pohľadu ochrany osobných údajov je potrebné do zmluvy vložiť ustanovenie, prostredníctvom ktorého sa zabezpečí informovanie zmluvnej strany. Podmienky spracúvania osobných údajov sú upravené v Nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len: „Nariadenie alebo GDPR“), a zákonom č. 18/2018 Z. z.

Prečítajte si tiež: Vzor zmluvy o príspevku

Zákonnosť Spracúvania Osobných Údajov Podľa GDPR

GDPR uvádza, že spracovanie je zákonné iba na základe jednej zo šiestich podmienok stanovených v článku 6 ods. 1 písm. a) až f). Primeraný právny základ zodpovedá zásade zákonnosti podľa čl. 5 ods. 1 písm. Prevádzkovatelia musia okrem iného pri určovaní vhodného zákonného základu v súlade so zásadou spravodlivosti brať do úvahy práva dotknutých osôb. Článok 6 ods. 1 písm. Je dôležité si uvedomiť, že za právny základ podľa čl. 6 ods. 1 písm. a) sa považuje súhlas dotknutej osoby.

Kto je Prevádzkovateľ a Sprostredkovateľ?

Spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom podlieha určitým pravidlám. V zmysle čl. 4 všeobecného nariadenia o ochrane údajov je prevádzkovateľom „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov“. Sprostredkovateľom je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“.

Zjednodušene povedané, prevádzkovateľom je ten, kto vymedzil účel a prostriedky spracúvania osobných údajov a postúpil ich sprostredkovateľovi, aby ich ten spracúval v jeho mene. V praxi môže byť prevádzkovateľom akákoľvek firma, obec, škola alebo fyzická osoba.

Vzťah Medzi Prevádzkovateľom a Sprostredkovateľom: Zmluva o Spracúvaní Osobných Údajov

Vzťah medzi týmito subjektmi je v zmysle čl. 28 všeobecného nariadenia o ochrane údajov nutné podriadiť zmluve alebo inému právnemu aktu podľa práva Únie alebo práva členského štátu. Práve zmluva o spracúvaní osobných údajov predstavuje najčastejší spôsob, akým sa v praxi upravuje spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom. Okrem zmluvy o spracúvaní osobných údajov prichádza do úvahy napr. rozhodnutie súdu alebo iného orgánu.

Časový Rámec Uzavretia Zmluvy o Spracúvaní Osobných Údajov

Zmluvu o spracúvaní osobných údajov je nevyhnutné uzavrieť ešte predtým, ako reálne spracúvanie osobných údajov nastane, respektíve najneskôr v momente začatia spracúvania osobných údajov.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Forma a Náležitosti Zmluvy o Spracúvaní Osobných Údajov

Zmluva upravujúca vzťah medzi sprostredkovateľom a prevádzkovateľom musí byť vypracovaná v písomnej alebo elektronickej podobe, avšak vždy tak, aby existovali dôkazné prostriedky o ich minimálnych obsahových náležitostiach zakotvených v článku 28 ods. 3 všeobecného nariadenia o ochrane údajov a podľa základných požiadaviek kladených na právne úkony, a to v súlade so zákonom č. 40/1964 Zb. Občianskeho zákonníka (ďalej len ,,Občiansky zákonník“).

V zmysle ust. § 34 Občianskeho zákonníka sa právnym úkonom rozumie ,,prejav vôle smerujúci najmä k vzniku, zmene alebo zániku tých práv alebo povinností, ktoré právne predpisy s takýmto prejavom spájajú.“ Platný právny úkon podľa Občianskeho zákonníka predpokladá, že k prejavu vôle došlo slobodne a vážne, určito a zrozumiteľne, s možným predmetom plnenia.

Podstatné Náležitosti Zmluvy o Spracúvaní Osobných Údajov

Zmluva o spracúvaní osobných údajov musí v zmysle čl. 28 všeobecného nariadenia o ochrane údajov obsahovať aj určité podstatné náležitosti. Predmetom zmluvy o spracúvaní osobných údajov je záväzok sprostredkovateľa spracúvať v mene prevádzkovateľa osobné údaje v rozsahu a za podmienok uvedených v samotnej zmluve. Predmet zmluvy o spracúvaní osobných údajov často nadväzuje na rámcovú zmluvu (napr. s predplateným prístupom).

Základné Princípy

Zákonnosť, spravodlivosť a transparentnosť: Osobné údaje musia byť spracúvané zákonne, spravodlivo a transparentne vo vzťahu k dotknutej osobe.
Obmedzenie účelu: Osobné údaje musia byť získavané na konkrétne, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý je s týmito účelmi nezlučiteľný.
Minimalizácia údajov: Osobné údaje musia byť primerané, relevantné a obmedzené na to, čo je nevyhnutné vo vzťahu k účelom, na ktoré sa spracúvajú.
Presnosť: Osobné údaje musia byť presné a v prípade potreby aktualizované; musia sa prijať všetky primerané opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nepresné s ohľadom na účely, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia.
Obmedzenie uchovávania: Osobné údaje sa musia uchovávať vo forme, ktorá umožňuje identifikáciu dotknutých osôb len dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú.
Integrita a dôvernosť: Osobné údaje sa musia spracúvať spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením, a to pomocou primeraných technických alebo organizačných opatrení.
Zodpovednosť: Prevádzkovateľ je zodpovedný za dodržiavanie vyššie uvedených zásad a musí byť schopný preukázať ich dodržiavanie.

Práva Dotknutých Osôb

GDPR posilňuje práva dotknutých osôb, teda osôb, ktorých osobné údaje sú spracúvané. Medzi tieto práva patria:

Právo na prístup k údajom: Dotknutá osoba má právo získať potvrdenie o tom, či sa jej osobné údaje spracúvajú, a ak áno, má právo získať prístup k týmto údajom a informácie o ich spracúvaní.
Právo na opravu: Dotknutá osoba má právo na opravu nepresných osobných údajov, ktoré sa jej týkajú.
Právo na vymazanie (právo "byť zabudnutý"): Dotknutá osoba má právo na vymazanie osobných údajov, ak už nie sú potrebné na účely, na ktoré sa získavali alebo spracúvali, ak odvolá svoj súhlas, ak namieta voči spracúvaniu a neexistujú žiadne prevažujúce oprávnené dôvody na spracúvanie, ak sa osobné údaje spracúvali nezákonne, alebo ak sa osobné údaje musia vymazať, aby sa splnila zákonná povinnosť.
Právo na obmedzenie spracúvania: Dotknutá osoba má právo na obmedzenie spracúvania osobných údajov, ak napadne presnosť údajov, ak je spracúvanie nezákonné, ale dotknutá osoba nesúhlasí s vymazaním údajov, ak prevádzkovateľ už osobné údaje nepotrebuje, ale dotknutá osoba ich potrebuje na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo ak dotknutá osoba namieta voči spracúvaniu.
Právo na prenosnosť údajov: Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje inému prevádzkovateľovi.
Právo namietať: Dotknutá osoba má právo namietať voči spracúvaniu osobných údajov, ak sa spracúvanie zakladá na oprávnenom záujme prevádzkovateľa alebo na plnení úlohy vo verejnom záujme, alebo ak sa osobné údaje spracúvajú na účely priameho marketingu.
Právo odvolať súhlas: Ak sa spracúvanie osobných údajov zakladá na súhlase dotknutej osoby, má dotknutá osoba právo kedykoľvek odvolať svoj súhlas.

Zabezpečenie Osobných Údajov

Prevádzkovateľ a sprostredkovateľ sú povinní prijať primerané technické a organizačné opatrenia na zabezpečenie osobných údajov pred náhodnou stratou, zničením, poškodením, neoprávneným prístupom, zmenou alebo šírením. Tieto opatrenia by mali zohľadňovať stav techniky, náklady na implementáciu a povahu, rozsah, kontext a účely spracúvania, ako aj riziko pre práva a slobody fyzických osôb.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

Medzi typické bezpečnostné opatrenia patria:

Šifrovanie: Šifrovanie osobných údajov pri prenose a uchovávaní.
Kontrola prístupu: Obmedzenie prístupu k osobným údajom len na osoby, ktoré ich potrebujú na výkon svojich úloh.
Zálohovanie: Pravidelné zálohovanie osobných údajov.
Audit: Pravidelné audity bezpečnostných opatrení.
Školenia: Školenia zamestnancov o ochrane osobných údajov.

Dôsledky Nedodržania GDPR

Nedodržanie GDPR môže mať vážne dôsledky pre prevádzkovateľov a sprostredkovateľov, vrátane:

Pokuty: GDPR umožňuje ukladať pokuty až do výšky 20 miliónov EUR alebo 4 % z celosvetového ročného obratu, podľa toho, ktorá suma je vyššia.
Reputačné škody: Nedodržanie GDPR môže viesť k strate dôvery zákazníkov a poškodeniu reputácie organizácie.
Súdne spory: Dotknuté osoby majú právo na súdnu ochranu v prípade porušenia ich práv.
Prerušenie činnosti: V závažných prípadoch môže dôjsť k prerušeniu činnosti organizácie.

tags: #zmluva #so #sprostredkovatelom #spracovania #osobných #údajov

Zmluva so Sprostredkovateľom Spracúvania Osobných Údajov: Kompletný Prehľad