Nemôžete vyplniť toto pole
Domov / Blog / Sprostredkovateľská zmluva v GDPR

Sprostredkovateľská zmluva v GDPR

Ak outsourcujete účtovníctvo, používate externé IT služby, cloudové riešenie, marketingovú agentúru alebo napríklad nástroj na analýzu návštevnosti webu, takmer určite sa dostanete do situácie, keď niekto „cudzí“ spracúva osobné údaje vo vašom mene. A presne vtedy prichádza na rad sprostredkovateľská zmluva podľa GDPR, často nazývaná aj DPA (Data Processing Agreement).

V praxi je to jeden z najdôležitejších dokumentov na preukázanie súladu s GDPR. Nie je to formalita do šuflíka. Je to zmluva, ktorá nastavuje pravidlá, zodpovednosti, bezpečnosť a hranice spracúvania osobných údajov medzi prevádzkovateľom a sprostredkovateľom.

Ako odborník a poradca pre GDPR to poviem jednoducho: ak máte sprostredkovateľa a nemáte správne nastavenú zmluvu, zbytočne si zvyšujete riziko pokuty, škody a problémov pri kontrole.

Sprostredkovateľská zmluva je právny rámec, ktorý:

  1. legitimizuje spracúvanie u sprostredkovateľa (aby bolo jasné, že nekoná „na vlastnú päsť“),
  2. definuje povinnosti sprostredkovateľa, najmä bezpečnosť, mlčanlivosť a pomoc pri plnení práv dotknutých osôb,
  3. chráni prevádzkovateľa tým, že má zmluvne podchytené, čo sprostredkovateľ smie a musí robiť.

GDPR to vyžaduje priamo v článku 28. A dôležitý detail: zmluva musí byť uzatvorená pred začatím spracúvania.

Zmlatu potrebujete vždy, keď externý subjekt spracúva osobné údaje vo vašom mene. Bežné príklady zahŕňajú externé účtovníctvo a mzdy, IT servis a správa siete, cloud služby ako hosting alebo CRM, marketingové agentúry, call centrá či analytické nástroje na webe. Pozor na častú chybu: nie každý dodávateľ je sprostredkovateľ. Niekedy je dodávateľ samostatný prevádzkovateľ alebo spoločný prevádzkovateľ. Rozhoduje, či koná podľa vašich pokynov a vo vašom mene, alebo určuje vlastné účely.

Musí byť zmluva písomná? Áno, aj elektronicky

GDPR vyžaduje písomnú formu, pričom je výslovne prípustná aj elektronická forma. V praxi to znamená:

  • podpísaná zmluva (papier alebo kvalifikovaný elektronický podpis),
  • akceptácia podmienok v administrácii nástroja (typicky pri SaaS), ak viete preukázať obsah a akceptáciu,
  • zmluvné podmienky v rámci hlavnej zmluvy, ak obsahujú všetko, čo GDPR vyžaduje.

Dôležité je, aby ste vedeli pri kontrole jasne preukázať: kto, kedy, čo odsúhlasil a aké znenie platilo.

Čo musí sprostredkovateľská zmluva obsahovať podľa GDPR (minimum, bez ktorého je to zle)

GDPR je v tomto konkrétne. Zmluva musí upravovať minimálne:

1) Predmet, povaha a účel spracúvania

  • aké spracúvanie sa robí (napr. vedenie miezd, správa e-shopu, e-mail marketing),
  • na aký účel (napr. plnenie zmluvy, správa zákazníckych účtov, zabezpečenie IT prevádzky).

2) Doba trvania spracúvania

  • napr. „po dobu trvania zmluvy o poskytovaní služby“,
  • plus čo sa stane po skončení (vrátenie alebo vymazanie údajov).

3) Typy osobných údajov a kategórie dotknutých osôb

  • napr. identifikačné údaje, kontaktné údaje, fakturačné údaje, prihlasovacie údaje, online identifikátory,
  • dotknuté osoby: zákazníci, zamestnanci, návštevníci webu, dodávatelia.

4) Práva a povinnosti prevádzkovateľa

  • prevádzkovateľ dáva sprostredkovateľovi zdokumentované pokyny,
  • prevádzkovateľ je oprávnený kontrolovať plnenie (audit).

5) Povinnosti sprostredkovateľa (kľúčová časť)

Sprostredkovateľ sa zaviaže najmä, že:

  • bude spracúvať údaje len na základe písomných pokynov prevádzkovateľa,
  • zabezpečí, aby osoby oprávnené spracúvať údaje boli viazané mlčanlivosťou,
  • prijme primerané technické a organizačné opatrenia na zabezpečenie údajov,
  • bude rešpektovať pravidlá pre ďalších sprostredkovateľov (subdodávateľov),
  • pomôže prevádzkovateľovi pri plnení povinností (napr. žiadosti dotknutých osôb),
  • pomôže pri bezpečnostných incidentoch a oznamovaní porušení ochrany osobných údajov,
  • po skončení spracúvania údaje vymaže alebo vráti, pokiaľ právo EÚ alebo SR nevyžaduje uchovanie,
  • sprístupní informácie potrebné na preukázanie súladu a umožní audit.

Odporúčané ustanovenia, ktoré vám v praxi ušetria veľa problémov

GDPR dáva minimum. Skúsenosť z praxe hovorí, že dobrá sprostredkovateľská zmluva má aj doplnky, ktoré riešia „čo ak“ scenáre.

1) Zodpovednosť, náhrada škody a postup pri porušení

V zmluve odporúčam mať:

  • kto a v akej lehote informuje o incidente,
  • kto robí forenznú analýzu a kto platí náklady,
  • postup pri spolupráci s ÚOOÚ a pri informovaní dotknutých osôb,
  • mechanizmus náhrady škody alebo regresu, ak problém spôsobil sprostredkovateľ porušením povinností.

Bez tejto časti často vzniká chaos: prevádzkovateľ nesie reputačné riziko a sprostredkovateľ „posiela všeobecné vyhlásenia“.

2) Bezpečnostné opatrenia konkrétne, nie vágne

Vágna veta „sprostredkovateľ prijal primerané opatrenia“ je slabá. Lepšie je mať prílohu alebo aspoň rámec:

  • šifrovanie pri prenose a v úložisku (kde relevantné),
  • riadenie prístupov a MFA,
  • logovanie a monitoring,
  • zálohovanie a obnova,
  • segmentácia, patch management,
  • bezpečnosť koncových zariadení,
  • školenia a interné politiky.

Nie všetko sa hodí do každej zmluvy, ale aspoň úroveň a štandardy majú byť čitateľné.

3) Ukončenie zmluvy, vrátenie a likvidácia dát

Toto je časť, ktorá sa často zanedbá. Pritom práve tu vznikajú „zabudnuté“ databázy:

  • v akej forme sa údaje vracajú,
  • do kedy sa vrátia,
  • ako prebehne výmaz (vrátane záloh, ak je to možné),
  • či bude vystavené potvrdenie o výmaze,
  • čo sa uchováva zo zákona (napr. účtovné doklady).

4) Prenosy mimo EÚ/EHP (ak nastávajú)

Ak sprostredkovateľ alebo jeho subdodávatelia prenášajú údaje mimo EÚ/EHP, zmluva musí riešiť:

  • na akom právnom základe pre prenos (typicky SCC),
  • kde sú servery a kto má prístup,
  • ako sa riešia požiadavky na dodatočné opatrenia.

Pri cloudových službách je toto bežná téma a oplatí sa ju mať jasne uchopenú.

5) Pravidlá pre subdodávateľov (ďalších sprostredkovateľov)

Zmluva má riešiť:

  • či je subdodávateľ povolený všeobecne alebo len po schválení,
  • ako budete informovaní o zmenách,
  • že subdodávateľ musí mať minimálne rovnaké povinnosti.

Ako to súvisí s cookies, analytikou a marketingom na webe

Vo vašom kontexte zaznelo používanie cookies na pohodlné prehliadanie, analýzu návštevnosti a zlepšovanie funkcionality, výkonu a použiteľnosti webu.

Tu si dajte pozor na dve roviny:

  1. Cookies lišta a pravidlá cookies riešia najmä súhlas alebo nastavenie preferencií, prípadne preukázanie, že analytické a marketingové cookies sa ukladajú zákonne.
  2. Sprostredkovateľská zmluva rieši vzťah medzi vami a dodávateľom nástroja, ktorý údaje spracúva vo vašom mene.

Prakticky: ak používate nástroj na analytiku alebo marketing, overte si, v akej roli vystupuje. Pri niektorých službách ste v pozícii prevádzkovateľa a poskytovateľ je sprostredkovateľ. Inde môže poskytovateľ vystupovať ako samostatný prevádzkovateľ pre svoje vlastné účely. Z toho sa odvíja, či potrebujete DPA, alebo skôr iný typ zmluvného rámca a informovania v zásadách ochrany osobných údajov.

Najčastejšie chyby, ktoré vidím pri sprostredkovateľských zmluvách

  1. Zmluva sa podpíše až po začatí spracúvania. To je porušenie požiadavky GDPR, najmä ak už prebiehala výmena dát.
  2. Zmluva je príliš všeobecná. Nie je jasné, aké údaje, kto a na čo spracúva.
  3. Chýbajú subdodávatelia. Prevádzkovateľ netuší, komu všetkému sa údaje reálne dostávajú.
  4. Neexistuje incident proces. Nikto nevie, kto čo robí do 24 hodín, čo je pri 72-hodinovej lehote na oznámenie zásadné.
  5. Bezpečnostné opatrenia sú len marketingové frázy. Pri kontrole alebo incidente to neobstojí.
  6. Nie je vyriešený koniec spolupráce. Údaje zostanú u dodávateľa „pre istotu“.

Kontrola a dohľad: prevádzkovateľ nesmie zostať pasívny

Sprostredkovateľská zmluva nie je jednorazový podpis. Prevádzkovateľ má povinnosť vybrať sprostredkovateľa, ktorý poskytuje „dostatočné záruky“, a priebežne mať veci pod kontrolou.

Čo odporúčam ako realistické minimum:

  • preveriť bezpečnostné dokumenty (napr. ISO 27001, SOC 2, bezpečnostný whitepaper, opis opatrení),
  • mať prehľad o subdodávateľoch,
  • aspoň raz ročne zhodnotiť, či sa niečo nezmenilo (služba, hosting, prístupy, prenosy mimo EÚ),
  • mať evidenciu zmlúv a vedieť ich rýchlo predložiť.

Praktický checklist: čo si pred podpisom zmluvy prejdite

  • Je jasné, kto je prevádzkovateľ a kto sprostredkovateľ?
  • Máte definovaný účel, rozsah a dobu spracúvania?
  • Sú pomenované typy údajov a dotknuté osoby?
  • Sú v zmluve pokyny a pravidlá, ako sa dávajú a menia?
  • Je riešená mlčanlivosť osôb na strane sprostredkovateľa?
  • Je bezpečnosť popísaná konkrétne alebo aspoň v prílohe?
  • Sú upravené subdodávateľské vzťahy?
  • Je jasný postup pri incidente a lehoty informovania?
  • Je vyriešené vrátenie/výmaz údajov po skončení?
  • Sú riešené prenosy mimo EÚ/EHP, ak existujú?

Ak na viac otázok odpoviete „nie“, zmluva je pravdepodobne slabá a je lepšie ju upraviť skôr, než sa niečo stane.

to do list gdpr

Záver: dobrá sprostredkovateľská zmluva nie je byrokracia, ale poistka

Sprostredkovateľská zmluva podľa GDPR reguluje vzťah medzi prevádzkovateľom a sprostredkovateľom, definuje práva a povinnosti, nastavuje bezpečnosť a dáva vám do rúk dôkaz, že spracúvanie je riadené a kontrolované.

Ak vám externý subjekt spracúva osobné údaje, zmluva má byť podpísaná pred začiatkom spracúvania, má byť písomná (aj elektronicky) a má obsahovať všetky povinné náležitosti podľa GDPR. Navyše sa oplatí doplniť zodpovednosť, detailnejšie bezpečnostné opatrenia, postupy pri ukončení a pravidlá prenosov mimo EÚ.

Ak chcete, pošlite mi anonymizovaný opis vášho dodávateľa (typ služby, aké údaje spracúva, či ide o cloud, či sú prenosy mimo EÚ) a poviem vám, či ide o sprostredkovateľa a ktoré ustanovenia v zmluve by som určite doplnil alebo sprísnil.

Často kladené otázky

Čo je sprostredkovateľská zmluva podľa GDPR a kedy ju potrebujem?

Sprostredkovateľská zmluva, často nazývaná aj DPA (Data Processing Agreement), je právny dokument, ktorý upravuje spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom. Potrebujete ju vždy, keď externý subjekt spracúva osobné údaje vo vašom mene, napríklad pri outsourcingu účtovníctva, IT služieb, cloudu alebo marketingovej agentúry.

Prečo je sprostredkovateľská zmluva dôležitá pre súlad s GDPR?

Táto zmluva legitimizuje spracúvanie osobných údajov u sprostredkovateľa, definuje jeho povinnosti ako bezpečnosť a mlčanlivosť a chráni prevádzkovateľa tým, že presne stanovuje pravidlá a hranice spracúvania údajov. Bez správnej zmluvy si zvyšujete riziko pokuty, škody a problémov pri kontrole GDPR.

Musí byť sprostredkovateľská zmluva podľa GDPR písomná?

Áno, GDPR vyžaduje písomnú formu zmluvy. Môže byť v papierovej forme alebo elektronicky podpísaná. Akceptovaná je aj elektronická forma vrátane akceptácie podmienok v administrácii nástroja (napríklad SaaS), pokiaľ viete jasne preukázať obsah a súhlas so zmluvou.

Aké základné náležitosti musí obsahovať sprostredkovateľská zmluva podľa GDPR?

Minimálne musí obsahovať: predmet, povahu a účel spracúvania osobných údajov (napr. vedenie miezd, e-mail marketing), dobu trvania spracúvania vrátane postupu po skončení (vrátenie alebo vymazanie údajov) a typy osobných údajov spolu s kategóriami dotknutých osôb.

Ako rozlíšiť sprostredkovateľa od samostatného alebo spoločného prevádzkovateľa?

Rozhodujúce je, či subjekt koná podľa vašich pokynov a vo vašom mene (sprostredkovateľ) alebo určuje vlastné účely spracúvania (samostatný alebo spoločný prevádzkovateľ). Táto klasifikácia ovplyvňuje potrebu uzatvorenia sprostredkovateľskej zmluvy podľa GDPR.

Kedy musí byť sprostredkovateľská zmluva uzatvorená?

Zmluva musí byť uzatvorená pred začatím samotného spracúvania osobných údajov sprostredkovateľom. Je to povinnosť podľa článku 28 GDPR na zabezpečenie zákonnosti a bezpečnosti spracovania údajov už od prvého momentu.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?