- Kontaktujte nás / Centrála:
- 047 / 5511 200
- [email protected]
Zmluva Sprostredkovateľa a Spracúvanie Osobných Údajov v Zmysle GDPR a Zákona č. 18/2018 Z. z.
S účinnosťou od 25. mája došlo k zásadným zmenám v oblasti ochrany osobných údajov. Tieto zmeny boli vyvolané zrušením zákona č. 122/2013 Z. z. o ochrane osobných údajov a Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995. Namiesto nich vstúpil do platnosti nový zákon č. 18/2018 Z. z. o ochrane osobných údajov a NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 (všeobecné nariadenie o ochrane údajov), známe ako GDPR. Tento článok sa zameriava na zmluvu sprostredkovateľa a spracúvanie osobných údajov v kontexte týchto nových právnych predpisov.
Zmeny v Legislatíve Ochrany Osobných Údajov
Zavedenie GDPR a zákona č. 18/2018 Z. z. prinieslo pre prevádzkovateľov a sprostredkovateľov osobných údajov nové povinnosti a postupy. Prevádzkovateľ je v súvislosti s účinnosťou zákona č. 18/2018 Z. z. o ochrane osobných údajov povinný vypracovať novú dokumentáciu. Táto dokumentácia musí zohľadňovať princípy a požiadavky stanovené v GDPR a zákone č. 18/2018 Z. z.
Povinnosti Prevádzkovateľa
Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov. Táto ochrana spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12 zákona č. 18/2018 Z. z.
Záznam o Spracovateľských Činnostiach
Úrad na ochranu osobných údajov SR podľa § 37 ods. 6 zákona č. 18/2018 Z. z. o ochrane osobných údajov je povinný zverejniť vzor Záznamov o spracovateľských činnostiach. Tento vzor je len pre informáciu, čo všetko má Záznam obsahovať a prevádzkovateľ má možnosť si ho vytvoriť podľa seba so všetkými zákonnými náležitosťami.
Práva Dotknutej Osoby
Zákon o ochrane osobných údajov taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov na základe toho, že dotknutá osoba uplatnila právo podľa čl. GDPR. Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie.
Prečítajte si tiež: Vzor zmluvy o príspevku
Kto je Sprostredkovateľ?
Za sprostredkovateľa sa na účely ochrany osobných údajov považuje každý, kto spracúva osobné údaje v mene prevádzkovateľa. Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby.
Súhlas so Spracovaním Osobných Údajov
Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov. GDPR nepredpisuje žiadnu formu pre súhlas so spracovaním osobných údajov. Súhlas so spracovaním osobných údajov mohla dotknutá osoba udeliť písomne, alebo iným preukázateľným spôsobom. Vzor súhlasu na spracovanie osobných údajov Vám poskytujeme k stiahnutiu nižšie. Súhlas dotknutej osoby musí obsahovať zákonom predpísané náležitosti. Výslovne musí byť uvedený prejav dotknutej osoby a to súhlasím so spracúvaním. Prevádzkovateľ si môže od dotknutej osoby vyžiadať písomný súhlas. Tento súhlas musí obsahovať vyhlásenie dotknutej osoby. Súhlas o spracovaní osobných údajov môže byť udelený aj elektronicky napríklad pri nákupe cez e-shop.
Zodpovedná Osoba (DPO)
Určenie, postavenie a úlohy zodpovednej osoby (Data Protection Officer - DPO) sú prioritne upravené v čl. 37 a nasl. GDPR a v § 44 až § 46 zákona č. 18/2018 Z. z.
Vzťah Prevádzkovateľa a Sprostredkovateľa: Zmluva o Spracúvaní Osobných Údajov
Spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom podlieha určitým pravidlám. V zmysle čl. 4 všeobecného nariadenia o ochrane údajov je sprostredkovateľom „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“. Zjednodušene povedané, prevádzkovateľom je ten, kto vymedzil účel a prostriedky spracúvania osobných údajov a postúpil ich sprostredkovateľovi, aby ich ten spracúval v jeho mene. V praxi môže byť prevádzkovateľom akákoľvek firma, obec, škola alebo fyzická osoba.
Vzťah medzi týmito subjektmi je v zmysle čl. 28 všeobecného nariadenia o ochrane údajov nutné podriadiť zmluve alebo inému právnemu aktu podľa práva Únie alebo práva členského štátu. Práve zmluva o spracúvaní osobných údajov predstavuje najčastejší spôsob, akým sa v praxi upravuje spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom. Okrem zmluvy o spracúvaní osobných údajov prichádza do úvahy napr. Zmluvu o spracúvaní osobných údajov je nevyhnutné uzavrieť ešte predtým, ako reálne spracúvanie osobných údajov nastane, respektíve najneskôr v momente začatia spracúvania osobných údajov.
Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku
Forma a Obsah Zmluvy o Spracúvaní Osobných Údajov
Zmluva upravujúca vzťah medzi sprostredkovateľom a prevádzkovateľom musí byť vypracovaná v písomnej alebo elektronickej podobe, avšak vždy tak, aby existovali dôkazné prostriedky o ich minimálnych obsahových náležitostiach zakotvených v článku 28 ods. 3 všeobecného nariadenia o ochrane údajov a podľa základných požiadaviek kladených na právne úkony, a to v súlade so zákonom č. 40/1964 Zb. Občianskeho zákonníka (ďalej len ,,Občiansky zákonník“).
V zmysle ust. § 34 Občianskeho zákonníka sa právnym úkonom rozumie ,,prejav vôle smerujúci najmä k vzniku, zmene alebo zániku tých práv alebo povinností, ktoré právne predpisy s takýmto prejavom spájajú.“ Platný právny úkon podľa Občianskeho zákonníka predpokladá, že k prejavu vôle došlo slobodne a vážne, určito a zrozumiteľne, s možným predmetom plnenia.
Zmluva o spracúvaní osobných údajov musí v zmysle čl. 28 všeobecného nariadenia o ochrane údajov obsahovať aj určité podstatné náležitosti. Predmetom zmluvy o spracúvaní osobných údajov je záväzok sprostredkovateľa spracúvať v mene prevádzkovateľa osobné údaje v rozsahu a za podmienok uvedených v samotnej zmluve. Predmet zmluvy o spracúvaní osobných údajov často nadväzuje na rámcovú zmluvu (napr. s predplateným prístupom.Autor: JUDr.
Dokumentácia Prevádzkovateľa podľa Zákona č. 18/2018 Z. z.
Zo znenia zákona o ochrane osobných údajov vyplýva pre prevádzkovateľa povinnosť prijať viacero písomných dokumentov. Prijaté dokumenty museli obsahovať prehlásenie prevádzkovateľa o bezpečnosti spracúvaných osobných údajoch. Základným dokumentom bol podľa predchádzajúcej právnej úpravy (účinnej do 25.05.2018) bezpečnostný projekt, ktoré vzor resp. osnovu čo všetko musel obsahovať, Vám v tejto časti poskytujeme k stiahnutiu. Prevádzkovatelia teda museli mať vypracovaný projekt v prípadoch, kedy tak stanovoval zákon.
Požiadavky GDPR na Dokumentáciu
Nariadenie GDPR vo viacerých svojich článkoch stanovuje, aké dokumenty je prevádzkovateľ povinný zabezpečiť v písomnej forme. Napr. v Článku 7 ods. 2 uvádza, že ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho. Ďalej napr. vo vzťahu medzi prevádzkovateľom a sprostredkovateľom je v Článku 28 ods. 3 nariadenia GDPR uvedené, že spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.
Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe
Dokumentácia v prípade Porušenia Ochrany Osobných Údajov
Čl. 13 všeobecného nariadenia o ochrane údajov ustanovuje tzv. dokumentácia v prípade porušenia ochrany osobných údajov a ohlásenie Úradu o porušení ochrany osobných údajov podľa čl. 33 ods. tzv. 18/2018 Z. z.
tags: #zmluva #sprostredkovatela #vzor #spracovanie #osobných #údajov