Zmluva o spracúvaní osobných údajov pre poskytovanie služieb v oblasti informačných technológií
(ďalej len „Zmluva o SOÚ_IT“)
medzi
Prevádzkovateľom
Obchodné meno: LABUDA-ASI s.r.o.
Sídlo: Obchodná 52/30, 05315 Hrabušice
Štatutárny orgán: Ľubuša Labudová, Štatutár
Zápis:
IČO: 36603970
DIČ: 2022146665
IČ DPH: (ak nie ste platcom DPH, vymažte tento riadok)
Kontakt pre OOU:
(ďalej len „Prevádzkovateľ“)
a
Sprostredkovateľom (ako sprostredkovateľa uveďte prosím subjekt, ktorý Vám poskytuje tieto služby )
Obchodné meno:
Sídlo:
Štatutárny orgán:
Zápis:
IČO:
DIČ:
IČ DPH:
Kontakt pre OOU:
(ďalej len „Sprostredkovateľ“)
Prevádzkovateľ a Sprostredkovateľ spolu označovaní aj ako „zmluvné strany“.
Spracúvanie osobných údajov (ďalej aj „údaje“) sa vykonáva v režime podľa čl. 28 Nariadenia Európskeho Parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie GDPR“) a § 34 zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“).
- Predmet a trvanie Zmluvy o SOÚ_IT
1.1. Zmluva o SOÚ_IT sa uzatvára na základe platnej zmluvy č. XXXXX (zmluva medzi Vašou spoločnosťou/orgánom a subjektom, ktorý Vám zabezpečuje služby v oblasti IT) účinnej od XXX (ďalej len „zmluva“), na ktorú ďalej odkazuje tento dokument.
1.2. Predmetom Zmluvy o SOÚ_IT je úprava vzájomných práv a povinností zmluvných strán pri spracúvaní osobných údajov dotknutých osôb Sprostredkovateľom v mene Prevádzkovateľa a poverenie Sprostredkovateľa Prevádzkovateľom spracúvaním osobných údajov, ktoré Prevádzkovateľ spracúva vo svojich informačných systémoch, v rozsahu a za podmienok stanovených nižšie.
1.3. Trvanie Zmluvy o SOÚ_IT a doba spracúvania zodpovedá trvaniu akéhokoľvek zmluvného vzťahu Prevádzkovateľa so Sprostredkovateľom v oblasti poskytovania služieb informačných technológií a to najmä: vytváranie klientskych profilov, e-mailových účtov, správa databáz, softwareové zmeny, správa servera a pod.
1.4. Prevádzkovateľ je oprávnený odstúpiť od Zmluvy o SOÚ_IT s okamžitou účinnosťou v prípade:
- porušenia aplikovateľných právnych predpisov ohľadom ochrany osobných údajov, najmä nariadenia GDPR alebo Zákona,
- porušenia zmluvných ustanovení o ochrane údajov obsiahnutých v Zmluve o SOÚ_IT alebo v zmluve,
- porušenia technických a organizačných opatrení schválených Prevádzkovateľom podľa bodu 5 Zmluvy o SOÚ_IT,
- ukončenia zmluvy, bez ohľadu na dôvod, spôsob a prípadnú spornosť ukončenia,
- ak Sprostredkovateľ nechce alebo nie je schopný vykonať opodstatnené pokyny Prevádzkovateľa.
- Účel Zmluvy o SOÚ_IT
2.1. Účel plánovaného spracúvania osobných údajov Sprostredkovateľom je vymedzený poskytovaním služieb v oblasti informačných technológií a to najmä: vytváranie klientskych profilov, e-mailových účtov, správa databáz, softwareové zmeny, správa servera a pod. Spracúvanie sa realizuje na plnenie zmluvy uvedenej v bode 1.1. tejto zmluvy.
2.2. Zmluvne dohodnuté spracúvanie osobných údajov sa vykoná výlučne v sídle Prevádzkovateľa a/alebo Sprostredkovateľa, prípadne v rámci členského štátu Európskej únie (EÚ) alebo v rámci členského štátu Európskeho hospodárskeho priestoru (EHP). Každý prenos osobných údajov do štátu, ktorý nie je členským štátom EÚ alebo EHP alebo do medzinárodnej organizácie, si vyžaduje predchádzajúci súhlas Prevádzkovateľa a vykoná sa iba v prípade, keď boli splnené osobitné podmienky prenosov podľa čl. 44 a nasl. nariadenia GDPR.
- Rozsah osobných údajov plánovaných na spracúvanie Sprostredkovateľom
3.1. Predmet spracúvania osobných údajov zahŕňa nasledovné typy/kategórie údajov (zoznam/opis kategórií údajov):
- priezvisko, meno, titul,
- adresa trvalého pobytu alebo adresa prechodného pobytu,
- korešpondenčná adresa,
- dátum narodenia, rodné číslo,
- e-mailová adresa,
- identifikačné číslo,
- online identifikátor,
- IP adresa, lokalizačné údaje,
- podpis,
- komunikačné údaje (napr. telefón, skype, ICQ, Facebook, Instagram a pod.),
- obrazové snímky, obrazové a zvukové záznamy,
- iné osobné údaje, ktoré sú nevyhnutné na dosiahnutie účelu.
- Kategórie dotknutých osôb
4.1. Do kategórie dotknutých osôb spadajú:
- zamestnanci Prevádzkovateľa,
- bývalí zamestnanci Prevádzkovateľa,
- fyzické osoby, ktorých osobné údaje sa môžu nachádzať v informačných systémoch Prevádzkovateľa
- Technické a organizačné opatrenia
5.1. Prehlásenie Prevádzkovateľa:
Prevádzkovateľ prehlasuje, že na zaistenie ochrany práv dotknutých osôb prijal primerané technické a organizačné opatrenia a nechal si vypracovať spoločnosťou Osobnyudaj.sk, s.r.o. bezpečnostnú dokumentáciu, ktorá deklaruje zákonné spracúvanie osobných údajov.
Prevádzkovateľ zároveň prehlasuje, že zaviedol transparentný systém zaznamenávania bezpečnostných incidentov a akýchkoľvek otázok zo strany dotknutej osoby, ako aj iných osôb.
Jednotlivé informácie sa môže dotknutá osoba dozvedieť priamo na webovom sídle Prevádzkovateľa a/alebo je povinné informovanie sprístupnené k nahliadnutiu v sídle Prevádzkovateľa.
5.2. Prehlásenie Sprostredkovateľa:
Sprostredkovateľ prehlasuje, že pri spracúvaní osobných údajov dotknutých osôb postupuje v súlade s nariadením GDPR a so Zákonom a na zaistenie ochrany práv dotknutých osôb prijal primerané technické a organizačné opatrenia a to tak, aby nedošlo k porušeniu práv dotknutých osôb.
Sprostredkovateľ zároveň prehlasuje, že zabezpečí bezpečnosť údajov podľa čl. 28 ods. 3 písm. c) a čl. 32 nariadenia GDPR, najmä v súvislosti s čl. 5 ods. 1 a ods. 2 nariadenia GDPR. Prijímané opatrenia sú opatreniami týkajúcimi sa bezpečnosti údajov a opatreniami, ktoré zaručujú úroveň ochrany údajov zodpovedajúcu miere rizika porušení pri zachovávaní dôvernosti, integrity, dostupnosti a odolnosti systémov. Súčasný stav spracúvania údajov, náklady na implementáciu, povaha, rozsah a účel spracúvania, ako aj pravdepodobnosť výskytu rizika týkajúceho sa práv a slobôd fyzických osôb vo význame čl. 32 ods. 1 nariadenia GDPR a závažnosť tohto rizika sa rovnako musia zohľadniť.
Sprostredkovateľ prehlasuje, že jeho zamestnanci – oprávnené osoby, ktoré spracúvajú osobné údaje sú riadne písomne poverené a zaviazané mlčanlivosťou a to aj po skončení pracovného pomeru v zmysle § 79 Zákona.
- Podmienky spracúvania osobných údajov
6.1. Prevádzkovateľ súhlasí, aby Sprostredkovateľ spracúval osobné údaje v elektronickej a papierovej forme (upravte podľa potreby), za splnenia nasledujúcich podmienok:
- Sprostredkovateľ je oprávnený spracúvať osobné údaje výhradne na dohodnutý účel, spôsobom a v rozsahu určenom Prevádzkovateľom, ktorý vyplýva zo záznamu o spracovateľských činnostiach v príslušnom informačnom systéme (najmä získavať, zhromažďovať, zaznamenávať, usporadúvať, štruktúrovať, uchovávať, prepracúvať alebo meniť, vyhľadávať, prehliadať, využívať, poskytovať prenosom, šírením alebo poskytovať iným spôsobom, preskupovať alebo kombinovať, obmedziť, vymazať alebo likvidovať – upravte podľa potreby), a nie je oprávnený preniesť tieto údaje žiadnej tretej strane. Kópie alebo duplikáty údajov nie je možné vyhotovovať bez vedomia Prevádzkovateľa, okrem záložných kópií, ktoré sú potrebné na zabezpečenie riadneho spracúvania údajov, ako aj údajov, ktoré sú požadované za účelom splnenia regulačných (archivačných) požiadaviek pre uchovávanie údajov,
- Sprostredkovateľ môže poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa (ďalej len ,,subSprostredkovateľ“) iba na základe osobitného písomného súhlasu Prevádzkovateľa; pri zapojení ďalšieho sprostredkovateľa do vykonávania osobitných spracovateľských činností v mene Prevádzkovateľa je mu povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov,
- Sprostredkovateľ bude spracúvať osobné údaje len na základe písomných pokynov Prevádzkovateľa,
- Sprostredkovateľ je povinný vykonať opatrenia na zaistenie úrovne bezpečnosti spracúvania osobných údajov v súlade s čl. 32 nariadenia GDPR,
- Sprostredkovateľ je povinný poskytnúť súčinnosť Prevádzkovateľovi pri zabezpečovaní plnenia povinností v oblasti bezpečnosti osobných údajov v súlade s čl. 32 až 36 nariadenia GDPR, ako aj súčinnosť pri plnení povinností Prevádzkovateľa reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III nariadenia GDPR,
- Sprostredkovateľ je povinný vymazať osobné údaje alebo vrátiť Prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia Prevádzkovateľa a vymazať existujúce kópie,
- Sprostredkovateľ je povinný poskytnúť Prevádzkovateľovi informácie potrebné na preukázanie splnenia zmluvných povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Prevádzkovateľa alebo audítora, ktorého poveril Prevádzkovateľ,
- Sprostredkovateľ nemôže svojvoľne opraviť, vymazať alebo obmedziť spracúvanie údajov spracúvaných v mene Prevádzkovateľa, môže tak urobiť iba na základe zdokumentovaných pokynov od Prevádzkovateľa. V prípade, že dotknutá osoba požiada priamo Sprostredkovateľa o opravu, vymazanie, obmedzenie spracúvania alebo uplatní voči Sprostredkovateľovi akékoľvek iné svoje právo, Sprostredkovateľ bezodkladne posunie túto požiadavku dotknutej osoby Prevádzkovateľovi,
- Ak osobitný predpis neustanovuje inak, po ukončení zmluvného vzťahu, najneskôr však pri ukončení platnosti zmluvy, na základe ktorej sa uzatvára Zmluva o SOÚ_IT – Sprostredkovateľ vráti akékoľvek prijaté dokumenty, pripravené výstupy spracúvania a využívania údajov, ako aj súpis údajov týkajúcich sa zmluvného vzťahu s Prevádzkovateľom, alebo ich so súhlasom Prevádzkovateľa zničí v súlade s príslušnými ustanoveniami o ochrane údajov. To isté platí aj pre testovacie a chybné materiály s údajmi. Na požiadanie bude Prevádzkovateľovi odovzdaný záznam o vymazaní údajov.
- Ďalšie dohodnuté podmienky
7.1. Prevádzkovateľ sa so Sprostredkovateľom dohodol na nasledovných podmienkach:
- Sprostredkovateľ je povinný zabezpečiť osobné údaje pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel prijme primerané technické, organizačné a personálne opatrenia,
- Prevádzkovateľ je oprávnený požadovať od Sprostredkovateľa preukázanie vykonania všetkých predpísaných bezpečnostných opatrení na ochranu osobných údajov,
- v prípade, že Prevádzkovateľ má pre zabezpečenie ochrany práv dotknutých osôb určenú zodpovednú osobu (,,DPO“), jej kontaktné údaje je povinný poskytnúť Sprostredkovateľovi,
- v prípade, že Sprostredkovateľ má pre zabezpečenie ochrany práv dotknutých osôb určenú zodpovednú osobu (,,DPO“), jej kontaktné údaje je povinný poskytnúť Prevádzkovateľovi,
- Sprostredkovateľ bez zbytočného odkladu informuje Prevádzkovateľa, ak jeho pokyn považuje za porušenie právnych predpisov o spracovávaní údajov. Sprostredkovateľ bude v takomto prípade oprávnený pozastaviť výkon príslušných pokynov, pokiaľ ich Prevádzkovateľ nepotvrdí alebo nezmení,
- ďalších podmienok uvedených v čl. 28 nariadenia GDPR.
- Zodpovednosť Sprostredkovateľa
8.1 Ak Sprostredkovateľ poruší Zmluvu o SOÚ_IT a sám určí prostriedky a účely spracúvania osobných údajov, ktoré mu boli poskytnuté ako Sprostredkovateľovi, považuje sa vo vzťahu k takémuto spracúvaniu za prevádzkovateľa a výhradne nesie zodpovednosť za takéto spracúvanie.
8.2. Za akékoľvek porušenie povinností ohľadom ochrany osobných údajov vyplývajúcich zo Zmluvy o SOÚ_IT alebo nariadenia GDPR či Zákona zo strany Sprostredkovateľových subSprostredkovateľov zodpovedá výhradne Sprostredkovateľ.
8.3. Ak Prevádzkovateľ v súvislosti s preukázateľným porušením povinností Sprostredkovateľa (alebo jeho subSprostredkovateľa) podľa Zmluvy o SOÚ_IT dostane pokutu, zaväzuje sa nahradiť vzniknutú škodu, či poskytnúť primerané (peňažné) zadosťučinenie. Sprostredkovateľ sa zároveň zaväzuje v súlade s § 725 zákona č. 513/1991 Zb. Obchodný zákonník, odškodniť Prevádzkovateľa v plnej výške udelenej pokuty, uloženej náhrady škody či primeraného (peňažného) zadosťučinenia.
- Záverečné ustanovenia
9.1. Zmluva o SOÚ_IT nadobúda platnosť dňom jej podpisu a účinnosť dňa 25.5.2018 alebo dňom jej podpisu, ak je dátum podpisu neskorší ako 25.5.2018.
9.2. Zmluva o SOÚ_IT sa riadi právnym poriadkom Slovenskej republiky. Na právne vzťahy v nej vyslovene neupravené sa použijú príslušné ustanovenia nariadenia GDPR, Zákona ako aj všetkých platných právnych predpisov Slovenskej republiky.
9.3. Spory týkajúce sa Zmluvy o SOÚ_IT alebo s ňou súvisiace, sa zmluvné strany zaväzujú najprv vyriešiť dohodou.
9.4. V prípade, že by sa niektoré ustanovenia Zmluvy o SOÚ_IT stali neplatnými alebo neúčinnými, alebo ak by sa v dôsledku legislatívnych zmien dostali niektoré z ustanovení Zmluvy o SOÚ_IT do rozporu s aplikovateľným právnym poriadkom, nie je týmto dotknutá platnosť a účinnosť zostávajúcich ustanovení Zmluvy o SOÚ_IT.
9.5. Namiesto neplatného alebo neúčinného ustanovenia platia za zmluvne dohodnuté tie ustanovenia všeobecne záväzných právnych predpisov, ktoré sa svojim zmyslom a účelom neplatnému alebo neúčinnému ustanoveniu Zmluvy o SOÚ_IT najviac približujú.
9.6. Zmluva o SOÚ_IT je vyhotovená v 2 rovnopisoch v slovenskom jazyku, pričom každá zmluvná strana obdrží jeden rovnopis. Zmluvu o SOÚ_IT možno meniť a dopĺňať len písomnými dodatkami podpísanými oboma zmluvnými stranami.
9.7. Zmluvné strany vyhlasujú a potvrdzujú, že sa oboznámili so všetkými ustanoveniami uvedenými v tejto Zmluve o SOÚ_IT, sú pre nich zrozumiteľné, ich obsahu porozumeli, sú výsledkom ich vzájomnej dohody podľa ich slobodnej vôle, neboli dohodnuté v tiesni ani za nápadne nevýhodných podmienok, s jej obsahom súhlasia a na znak súhlasu ju vlastnoručne podpisujú.
V …………………………, dňa ………………………. V …………………………, dňa ……………………….
_______________________ _______________________
Prevádzkovateľ Sprostredkovateľ