Zmluva o spracúvaní osobných údajov pre poskytovanie služieb

Spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom podlieha určitým pravidlám. Predtým, ako sa bližšie pozrieme na to, aké pravidlá je potrebné dodržiavať, je nevyhnutné správne vymedziť prevádzkovateľa a sprostredkovateľa.

Kto je v zmysle všeobecného nariadenia o ochrane údajov prevádzkovateľom? V zmysle čl. 4 všeobecného nariadenia o ochrane údajovNARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) je ním „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu“.

Kto je v zmysle všeobecného nariadenia o ochrane údajov sprostredkovateľom?

Sprostredkovateľom je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“. Zjednodušene povedané, prevádzkovateľom je ten, kto vymedzil účel a prostriedky spracúvania osobných údajov a postúpil ich sprostredkovateľovi, aby ich ten spracúval v jeho mene. V praxi môže byť prevádzkovateľom akákoľvek firma, obec, škola alebo fyzická osoba. Sprostredkovateľom bývajú najčastejšie spoločnosti, ktoré spracúvajú mzdy, personalistiku, účtovníctvo, cloudové služby a podobne.

Vzťah medzi týmito subjektmi je v zmysle čl. 28 všeobecného nariadenia o ochrane údajov nutné podriadiť zmluve alebo inému právnemu aktu podľa práva Únie alebo práva členského štátu. Práve zmluva o spracúvaní osobných údajov predstavuje najčastejší spôsob, akým sa v praxi upravuje spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom. Okrem zmluvy o spracúvaní osobných údajov prichádza do úvahy napr. dohoda o plnomocenstve alebo poverenie na spracúvanie osobných údajov vystavené zo strany prevádzkovateľa s výslovným akceptovaním určených povinností zo strany sprostredkovateľa.

Zmluvu o spracúvaní osobných údajov je nevyhnutné uzavrieť ešte predtým, ako reálne spracúvanie osobných údajov nastane, respektíve najneskôr v momente začatia spracúvania osobných údajov. Zmluva upravujúca vzťah medzi sprostredkovateľom a prevádzkovateľom musí byť vypracovaná v písomnej alebo elektronickej podobe, avšak vždy tak, aby existovali dôkazné prostriedky o ich minimálnych obsahových náležitostiach zakotvených v článku 28 ods. 3 všeobecného nariadenia o ochrane údajov a podľa základných požiadaviek kladených na právne úkony, a to v súlade so zákonom č. 40/1964 Zb. Občianskeho zákonníka (ďalej len ,,Občiansky zákonník“). V zmysle ust. § 34 Občianskeho zákonníka sa právnym úkonom rozumie ,,prejav vôle smerujúci najmä k vzniku, zmene alebo zániku tých práv alebo povinností, ktoré právne predpisy s takýmto prejavom spájajú.“ Platný právny úkon podľa Občianskeho zákonníka predpokladá, že k prejavu vôle došlo slobodne a vážne, určito a zrozumiteľne, s možným predmetom plnenia. Inak je právny úkon neplatný.

Ako každá zmluva, aj zmluva o spracúvaní osobných údajov musí obsahovať základné náležitosti, akými sú: údaje o zmluvných stranách, respektíve správne vymedzenie prevádzkovateľa a sprostredkovateľa, určenie dňa, od ktorého môže sprostredkovateľ začať spracúvať osobné údaje v mene prevádzkovateľa, dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Zmluva o spracúvaní osobných údajov musí v zmysle čl. 28 všeobecného nariadenia o ochrane údajov obsahovať aj určité podstatné náležitosti. Medzi ne patria: určenie predmetu a doby spracúvania, určenie povahy a účelu spracúvania, vymedzenie typu spracúvaných údajov, kategórie dotknutých osôb, povinnosti a práva prevádzkovateľa a v neposlednom rade povinnosti sprostredkovateľa.

Predmet a doba spracúvania osobných údajov

Predmetom zmluvy o spracúvaní osobných údajov je záväzok sprostredkovateľa spracúvať v mene prevádzkovateľa osobné údaje v rozsahu a za podmienok uvedených v samotnej zmluve. Predmet zmluvy o spracúvaní osobných údajov často nadväzuje na rámcovú zmluvu (napr. zmluva o spolupráci, obchodná zmluva a pod.) uzavretú medzi prevádzkovateľom ...