Preskočiť na obsah

Spracovanie údajov v mene Objednávateľa (Sprostredkovateľská zmluva podľa čl. 28 GDPR)

17/07/2025

1. Poskytovateľ

Poskytovateľ vystupuje vo vzťahu k dotknutým osobám Objednávateľa v pozícii Sprostredkovateľa podľa ustanovenia čl. 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“). Z tohto dôvodu sa zmluvný vzťah medzi Poskytovateľom a Objednávateľom pri poskytovaní služieb riadi nasledovným:

a) Poskytovateľ má všeobecné povolenie na zapojenie ďalšieho sprostredkovateľa (najmä svojich subdodávateľov). V prípade, ak Poskytovateľ zapojí ďalšieho sprostredkovateľa, je Poskytovateľ tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v týchto VOP, pričom zodpovednosť voči Objednávateľovi nesie Poskytovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov;

b) Poskytovateľ sa zaväzuje spracúvať osobné údaje len pre účely poskytovania Objednávateľom objednaných služieb. Predmetom spracúvania osobných údajov je služba, ktorú bude Poskytovateľ Objednávateľovi poskytovať;

c) Poskytovateľ spracúva osobné údaje po dobu trvania zmluvného vzťahu a ešte 6 mesiacov odo dňa jeho skončenia;

d) Poskytovateľ spracúva osobné údaje v nevyhnutnom rozsahu na dosiahnutie dohodnutého účelu, v akom ich spracúva Objednávateľ. Objednávateľ môže obmedziť rozsah spracúvaných osobných údajov. Pokiaľ nebolo výslovne Objednávateľom uvedené inak, Poskytovateľ nespracúva údaje osobitnej kategórie. Spracúvať osobné údaje je možné len v rozsahu nevyhnutnom na dosiahnutie účelov uvedených v písm. g) tohto bodu tohto článku, a to najmä: (i) identifikačné a kontaktné údaje a iné údaje súvisiace s účtovnou a obchodnou agendou; (ii) identifikačné údaje a/alebo údaje týkajúce sa činnosti dotknutej osoby a/alebo údaje nevyhnutné pre tvorbu databázy a/alebo mailing listu a/alebo danú komunikáciu a/alebo iné údaje súvisiace s poskytovaním dohodnutých služieb v závislosti od typu poskytovanej služby; (iii) ďalšie údaje nevyhnutné na dosiahnutie účelu spracúvania;

e) Vzhľadom na povahu služieb sa môže zoznam kategórií dotknutých osôb meniť. Objednávateľ disponuje aktuálnym zoznamom kategórií dotknutých osôb. Kategóriami osobných údajov sú okrem iného všetky fyzické osoby, ktorých osobné údaje sa pri poskytovaní dohodnutých činností a služieb spracúvajú, ako napr. (i) zákazníci Objednávateľa; (ii) zamestnanci Objednávateľa; (iii) zamestnanci a štatutárny orgán obchodných partnerov Objednávateľa; (iv) osoby, ktorých osobných údaje sa nachádzajú v databáze; (v) a iné fyzické osoby v závislosti od poskytovaných služieb;

f) Poskytovateľ vykonáva s osobnými údajmi spracovateľské operácie nevyhnutné na splnenie účelu spracúvania, a to najmä: získavanie, zhromažďovanie, uchovávanie, tvorba databázy a likvidácia za podmienok uvedených v týchto VOP;

g) Poskytovateľ je povinný spracúvať osobné údaje len v nevyhnutnom rozsahu, aby bolo možné dosiahnuť účel spracúvania – poskytnutie služieb a len na základe pokynov Objednávateľa, ktoré sú obsiahnuté v objednávke a týchto VOP tak, aby spracúvanie zodpovedalo bežnému spôsobu poskytovania služieb, a to aj vtedy, ak ide o prenos osobných údajov do medzinárodnej organizácie. Ak ide o prenos osobných údajov do medzinárodnej organizácie na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, Poskytovateľ je pri takom prenose povinný oznámiť Objednávateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu; Poskytovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými protiprávnymi spôsobmi spracúvania;

h) Poskytovateľ vyhlasuje, že zaručuje bezpečnosť spracúvaných osobných údajov, pričom pri prijímaní technických a organizačných opatrení za účelom zabezpečenia ochrany práv a ochrany osobných údajov dotknutých osôb Objednávateľa najmä pred náhodným alebo nezákonným zničením, stratou, zmenou alebo neoprávneným poskytnutím prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávneným prístupom, bral do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov, rizika, ktoré sú spôsobilé narušiť bezpečnosť ochrany osobných údajov a ich závažnosť. Poskytovateľ sa zaväzuje vykonať všetky kroky k najvyššiemu zabezpečeniu osobných údajov Objednávateľa, ako aj k zabezpečeniu všetkých dátových, databázových a poštových súborov Objednávateľa pred ich stratou, poškodením, zničením alebo akýmkoľvek iným protiprávnym spracovaním;

i) Poskytovateľ je povinný neposkytnúť osobné údaje tretím osobám, nepoužiť osobné údaje na iný než dohodnutý účel, nezneužiť pre svoj prospech alebo prospech tretej osoby a nenakladať s osobnými údajmi v rozpore s týmto článkom VOP;

j) Poskytovateľ je povinný zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb Objednávateľa len počas doby nevyhnutnej na dosiahnutie účelu spracúvania;

k) Poskytovateľ sa zaväzuje spolupracovať a poskytnúť Objednávateľovi súčinnosť pri zabezpečovaní dodržiavania povinností Objednávateľa reagovať na žiadosti dotknutých osôb Objednávateľa pri výkone ich práv podľa ustanovení kapitoly III GDPR, vrátane oboznámenia Objednávateľa o každej písomnej žiadosti o prístup, ktoré prípadne budú doručené Poskytovateľovi v súvislosti s povinnosťami Objednávateľa podľa GDPR, zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ochrane osobných údajov“) a iných súvisiacich predpisov, a to v lehote 48 hodín (do tohto času sa nezarátavajú dní pracovného voľna a sviatky) odo dňa doručenia žiadosti zo strany Objednávateľa;

l) Poskytovateľ sa zaväzuje spolupracovať a poskytnúť Objednávateľovi súčinnosť pri zabezpečovaní dodržiavania povinností podľa ustanovení čl. 32 až 36 GDPR, a to: i) zabezpečiť bezpečnosť spracúvania; ii) oznámiť Objednávateľovi, ,akékoľvek porušenie ochrany osobných údajov; iii) v prípade potreby vykonať posúdenie vplyvu na ochranu osobných údajov, týkajúce sa vplyvu spracúvania na ochranu osobných údajov; iv) konzultovať s Úradom na ochranu osobných údajov Slovenskej republiky zámer uskutočniť spracúvanie osobných údajov, ak z posúdenia vplyvu na ochranu osobných údajov vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by Objednávateľ neprijal opatrenia na zmiernenie tohto rizika; v) Poskytovateľ sa zaväzuje poskytnúť Objednávateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v ustanovení čl. 28 GDPR a poskytnúť Objednávateľovi súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Objednávateľa alebo audítora, ktorého poveril Objednávateľ. Objednávateľ je povinný audit oznámiť aspoň 21 dní pred plánovaným dátumom auditu. Oznámenie musí obsahovať predmet auditu, ako aj dátum začiatku auditu a jeho dĺžku. Audit musí byť vykonávaný v pracovnom čase Poskytovateľa a nesmie neprimeraným spôsobom zasahovať do činnosti Poskytovateľa. Audit sa vykoná na náklady Objednávateľa a Objednávateľ Poskytovateľovi nahradí aj všetky náklady, ktoré Poskytovateľovi vzniknú v súvislosti s auditom;

m) Poskytovateľ je povinný bezodkladne oznámiť Objednávateľovi, ak podľa názoru Poskytovateľa akýkoľvek pokyn udelený Objednávateľom porušuje GDPR, Zákon o ochrane osobných údajov, osobitný predpis alebo medzinárodnú zmluvu, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov. Poskytovateľ je povinný ihneď informovať Objednávateľa ak si u neho uplatní právo dotknutá osoba Objednávateľa. Poskytovateľ je povinný bezodkladne najneskôr do 48 hodín informovať Objednávateľa, ak dôjde k porušenie ochrany osobných údajov;

n) Poskytovateľ sa zaväzuje po skončení platnosti a účinnosti zmluvného vzťahu s Objednávateľom, na základe rozhodnutia Objednávateľa vymazať osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov;

2. Informácie o právach dotknutej osoby:

Objednávateľ berie na vedomie, že osoba poskytujúca osobné údaje (dotknutá osoba) má v zmysle ustanovenia čl. 15 až 22 a čl. 34 GDPR nasledovné práva vo vzťahu k Objednávateľovi (pričom Poskytovateľ sa zaväzuje poskytovať Objednávateľovi súčinnosť pri plnení práv dotknutej osoby, a to neodkladne na požiadanie Objednávateľa, najneskôr však v lehote 7 dní):

a) právo na prístup k osobným údajom podľa čl. 15 GDPR: Dotknutá osoba má právo získať od Objednávateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Dotknutá osoba má právo získať prístup k týmto osobným údajom a k informáciám uvedených v bode 2 tohto článku;

b) právo na opravu osobných údajov podľa čl. 16 GDPR: Dotknutá osoba má právo na to, aby Objednávateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov;

c) právo na výmaz osobných údajov podľa čl. 17 GDPR: Dotknutá osoba má právo na to, aby Objednávateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, ak dotknutá osoba uplatnila právo na výmaz, ak: i) osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali; ii) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov; iii) dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu; iv) osobné údaje sa spracúvajú nezákonne; v) je dôvodom pre výmaz splnenie povinnosti podľa GDPR, Zákona o ochrane osobných údajov, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná; vi) sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti;

d) právo na obmedzenie spracúvania osobných údajov podľa čl. 18 GDPR: Dotknutá osoba má právo na to, aby Objednávateľ obmedzil spracúvanie osobných údajov, ak: i) dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho Objednávateľovi overiť správnosť osobných údajov; ii) spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia; iii) Objednávateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku; iv) dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či oprávnené dôvody na strane Objednávateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby; v) dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí, je Objednávateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené. Na základe čl. 19 GDPR je Objednávateľ v prípade, ak to dotknutá osoba požaduje, povinný informovať dotknutú osobu o príjemcoch, ktorým Objednávateľ oznámil opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov;

e) právo na prenosnosť osobných údajov podľa čl. 20 GDPR: Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla Objednávateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi;

f) právo namietať spracúvanie osobných údajov podľa čl. 21 GDPR: Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané na právnom základe z dôvodu, že spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo z dôvodu, že spracúvanie je nevyhnutné na účel oprávnených záujmov Objednávateľa alebo tretej strany, vrátane profilovania založeného na týchto ustanoveniach. Objednávateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku. Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom;

g) na základe čl. 22 GDPR má dotknutá osoba právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú;

h) na základe čl. 34 GDPR má dotknutá osoba právo, aby jej Objednávateľ bez zbytočného odkladu oznámil porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.

3. Porušenie povinnosti

Za porušenie akejkoľvek povinnosti, ktorá vyplýva Sprostredkovateľovi z tejto Zmluvy ako aj z Nariadenia GDPR zodpovedá Sprostredkovateľ v plnej miere. Pokiaľ bude Objednávateľovi udelená pokuta zo strany Úradu na ochranu osobných údajov Slovenskej republiky, Sprostredkovateľ zodpovedá za túto pokutu do takej výšky, v akej ju preukázateľne a nepochybne zavinil.

4. Spracovanie osobných údajov v mene Objednávateľa

Nakoľko Poskytovateľ ako sprostredkovateľ spracúva osobné údaje v mene Objednávateľa, Objednávateľ týmto vyhlasuje, že osobné údaje dotknutých osôb získal v súlade s platnou legislatívou tohto štátu, ktorým sa predmetné spracovanie osobných údajov riadi. V prípade, ak sa spracovanie osobných údajov riadi Nariadením GDPR, tak Objednávateľ vyhlasuje, že všetky osobné údaje dotknutých osôb získal jedným z nasledovných spôsobov:

a) čl. 9 ods. 2 písm. a) GDPR – výslovný súhlas dotknutej osoby, alebo

b) čl. 9 ods. 2 písm. b) GDPR – nevyhnutnosť spracúvania na účely plnenia povinností a výkonu osobitných práv v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby alebo

c) čl. 9 ods. 2 písm. e) GDPR - spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila, alebo

d) čl. 9 ods. 2 písm. f) GDPR – spracúvanie je nevyhnutné na určenie, výkon alebo obhajobu právnych nárokov.

Objednávateľ týmto vyhlasuje, že zodpovedá za všetku prípadnú škodu, ktorá by vznikla Poskytovateľovi z dôvodu nezákonného získania osobných údajov Objednávateľom a následne ich sprístupnením Poskytovateľovi ako sprostredkovateľovi na základe tohto zmluvného vzťahu.

5. Predmet spracovania osobných údajov

Predmetom spracúvania osobných údajov je (i) kategória „štandardných“ osobných údajov (najmä: meno a priezvisko, adresa bydliska, telefónne číslo, e-mailová adresa, číslo občianskeho preukazu, rodné číslo, lokalizačné údaje (napr. GPS), IP adresa (ak je viazaná na konkrétnu osobu), údaje o zamestnaní, vzdelaní, pracovnej histórii) a (ii) kategória „citlivých“ údajov (biometrické údaje).

6. Sprístupnenie osobných údajov

Objednávateľ zodpovedá za to, ak sprístupní osobné údaje dotknutých osôb tretím stranám a osobám (buď sprístupnením mena a hesla do platformy Poskytovateľa alebo zriadením účtu na platforme Poskytovateľa pre tretie osoby), pričom je povinný získať všetky potrebné súhlasy dotknutých osôb na takéto sprístupnenie, ak sa vyžadujú a zároveň je povinný pri takomto sprístupnení postupovať v súlade s príslušnou legislatívou.

7. Spracovanie údajov Objednávateľa

a) V prípade, ak Poskytovateľ vystupuje v pozícii prevádzkovateľa a Objednávateľ v pozícii dotknutej osoby, tak Objednávateľ týmto udeľuje súhlas so spracovaním nasledovných údajov: (i) kategória „štandardných“ osobných údajov (najmä: meno a priezvisko, adresa bydliska, telefónne číslo, e-mailová adresa, číslo občianskeho preukazu, rodné číslo, lokalizačné údaje (napr. GPS), IP adresa (ak je viazaná na konkrétnu osobu), údaje o zamestnaní, vzdelaní, pracovnej histórii) a (ii) kategória „citlivých“ údajov (biometrické údaje).

b) Na spracovanie osobných údajov podľa tohto článku sa primerane aplikujú všetky ustanovenia podľa týchto podmienok Spracovanie údajov v mene Objednávateľa.