Sprostredkovateľská zmluva v zmysle GDPR (často označovaná aj ako „zmluva o spracúvaní osobných údajov“) je základným dokumentom, ktorý upravuje vzťah medzi prevádzkovateľom (tým, kto určuje účely a prostriedky spracúvania osobných údajov) a sprostredkovateľom (tým, kto spracúva osobné údaje v mene prevádzkovateľa).
Prečo je sprostredkovateľská zmluva dôležitá?
Táto zmluva je povinná podľa článku 28 GDPR a jej cieľom je zabezpečiť, aby spracúvanie osobných údajov prebiehalo v súlade s právnymi požiadavkami a aby boli jasne definované práva a povinnosti oboch strán. Zmluva tiež chráni prevádzkovateľa pred rizikami a zodpovednosťou v prípade porušenia ochrany údajov zo strany sprostredkovateľa.
Kedy je potrebná?
Sprostredkovateľská zmluva sa uzatvára vždy, keď externý subjekt spracúva osobné údaje v mene prevádzkovateľa – napríklad pri outsourcingu účtovníctva, IT služieb, cloudových riešení či marketingových agentúr. Zmluva musí byť uzatvorená pred začatím spracúvania údajov, najneskôr v deň jeho začatia.
Čo musí sprostredkovateľská zmluva obsahovať?
Podľa GDPR musí zmluva obsahovať minimálne tieto náležitosti:
- Predmet, povahu, účel a dobu spracúvania osobných údajov
- Typ osobných údajov a kategórie dotknutých osôb
- Práva a povinnosti prevádzkovateľa (napr. poskytovanie pokynov sprostredkovateľovi)
- Povinnosti sprostredkovateľa, najmä:
- spracúvať údaje len na základe písomných pokynov prevádzkovateľa,
- zabezpečiť dôvernosť a mlčanlivosť všetkých osôb, ktoré majú k údajom prístup,
- prijať primerané technické a organizačné opatrenia na ochranu údajov,
- dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subsprostredkovateľa) len so súhlasom prevádzkovateľa a za rovnakých podmienok,
- pomáhať prevádzkovateľovi pri plnení povinností voči dotknutým osobám (napr. vybavovanie žiadostí o prístup, opravu, výmaz),
- oznamovať prevádzkovateľovi akékoľvek porušenie ochrany údajov bez zbytočného odkladu,
- po skončení spracúvania údaje vrátiť alebo zlikvidovať podľa pokynov prevádzkovateľa,
- umožniť prevádzkovateľovi audit alebo kontrolu plnenia povinností podľa GDPR,
- informovať prevádzkovateľa, ak by jeho pokyny boli v rozpore s GDPR.
Ďalšie odporúčané ustanovenia
Okrem povinných náležitostí je vhodné v zmluve upraviť aj:
- spôsob riešenia zodpovednosti a náhrady škody,
- detailné bezpečnostné opatrenia,
- špecifikáciu postupu pri ukončení zmluvy a likvidácii údajov,
- postupy pri prenose údajov mimo EÚ/EHP.
Forma zmluvy
Sprostredkovateľská zmluva musí byť uzatvorená písomne, za čo sa považuje aj elektronická forma.
Sprostredkovateľská zmluva podľa GDPR je povinným právnym nástrojom na ochranu osobných údajov v prípadoch, keď externý subjekt spracúva údaje v mene prevádzkovateľa. Jej obsah a uzatvorenie sú kľúčové pre preukázanie súladu s GDPR a minimalizáciu rizík pre obe zmluvné strany. Prevádzkovatelia by mali vždy presne špecifikovať podmienky spracúvania a pravidelne kontrolovať plnenie zmluvy zo strany sprostredkovateľa.