ÚVOD

 Je ochrana osobných údajov naozaj taká dôležitá? A ak áno, akým spôsobom sa ochrana osobných údajov týka aj účtovníkov? Toto sú len základné otázky, ktoré si človek z času na čas kladie pri problematike ochrany osobných údajov. Recitál Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len ako „nariadenie GDPR“) uvádza, že ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva, pričom vychádza z článku 8 ods. 1 Charty základných práv Európskej únie a z článku 16 ods. 1 Zmluvy o fungovaní Európskej únie. Oba články stanovujú, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú. Už len z uvedených článkov jasne vyplýva, že ochrana osobných údajov je dôležitá, a preto je potrebné sa ňou komplexne zaoberať.

Účtovníci sú podnikatelia a zároveň osoby, ktoré denne pracujú s osobnými údajmi (majú prístup k faktúram t.j. k osobným údajom zákazníkov, údajom zamestnancov a pod.).

 Práve z tohto dôvodu sa v tomto článku budeme venovať spracúvaniu osobných údajov účtovníkom, poskytneme vzor zmluvy o spracúvaní osobných údajov sprostredkovateľom a zároveň poskytneme aj vysvetlenia k jednotlivým bodom zmluvy. Ďalšie informácie ohľadom GDPR nájdete aj na tomto odkaze.

 1. Spracúvanie osobných údajov účtovníkom

 Základné informácie

Nariadenie GDPR stanovuje, že spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu. To znamená, že právo na ochranu osobných údajov nie je absolútne právo, a preto sa musí posudzovať vo vzťahu k jeho funkcii v spoločnosti. Toto právo musí byť však vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality.

Nariadenie GDPR zároveň uvádza, že každé spracúvanie osobných údajov v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo vykonávať v súlade s týmto nariadením bez ohľadu na to, či sa samotné spracúvanie uskutočňuje v Únii, pričom prevádzkareň je potrebné rozumieť ako efektívny a skutočný výkon činnosti prostredníctvom stálych dojednaní. Netreba zabúdať, že právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je určujúcim faktorom.

Zmluva o spracúvaní osobných údajov sprostredkovateľom sa uzatvára podľa ustanovení čl. 28 nariadenie GDPR a § 34 a nasl. zákona č.  18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v platnom znení (ďalej len ako „zákon o ochrane osobných údajov“).

Na to, aby sme zrozumiteľne vysvetlili chápanie zmluvných strán v zmluve o spracúvaní osobných údajov, je potrebné si vymedziť základné pojmy, a to prevádzkovateľ a sprostredkovateľ.

Prevádzkovateľom je ten, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov (táto osoba má vopred stanovený zámer viazaný na určitú činnosť a výsledok), čiže podnikateľ má vopred stanovený zámer svojho podnikania – napríklad kúpa a predaj tovaru konečnému spotrebiteľovi, a teda účelom bude uzatvorenie zmluvy. Sám alebo spoločne s inými určí podmienky spracúvania, ten kto spracúva osobné údaje fyzických osôb, inak povedané napríklad podnikateľ spracúva osobné údaje svojich zamestnancov. Zároveň spracúva osobné údaje vo vlastnom mene a systematicky, to znamená pravidelne alebo opakovane.

Pod pojmom sprostredkovateľ rozumieme každú osobu, ktorá spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve a v súlade so zákonom. V prípade zmluvy o spracúvaní osobných údajov sprostredkovateľom, ktorú ako vzor uvádzame nižšie máme na mysli účtovníka.

Samozrejme, nariadenie GDPR a zákon o ochrane osobných údajov ponúkajú širšie vymedzenie pojmov prevádzkovateľ a sprostredkovateľ, avšak pre účely tohto článku, sme použili len vyššie uvedenú definíciu, ktorá je postačujúca na zadefinovanie týchto pojmov.

Nariadenie GDPR, ako aj zákon o ochrane osobných údajov uvádzajú, že spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Musia však stanoviť nasledovné:

• Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;
• Sprostredkovateľ zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;
• Sprostredkovateľ vykoná všetky požadované opatrenia v zmysle ustanovení ohľadom bezpečnosti spracúvania;
• Sprostredkovateľ dodržiava podmienky zapojenia ďalšieho sprostredkovateľa;
• Sprostredkovateľ po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby;
• Sprostredkovateľ pomáha prevádzkovateľovi zabezpečiť plnenie povinností s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;
• Sprostredkovateľ po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;
• Sprostredkovateľ poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

Zmluva na stiahnutie TU!

Komentár k zmluve TU!

2. Zhrnutie

 Každé spracúvanie osobných údajov v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo vykonávať v súlade s nariadením GDPR bez ohľadu na to, či sa samotné spracúvanie uskutočňuje v Únii;

• zmluva o spracúvaní osobných údajov sprostredkovateľom sa uzatvára podľa ustanovení čl. 28 nariadenie GDPR a § 34 a nasl. zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v platnom znení;
• prevádzkovateľom je ten, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, sám alebo spoločne s inými určí podmienky spracúvania, ten kto spracúva osobné údaje fyzických osôb;
• sprostredkovateľom je každá osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve a v súlade so zákonom;
• predmetom zmluvy o spracúvaní osobných údajov sprostredkovateľom je uloženie pokynov sprostredkovateľovi v procese spracúvania osobných údajov;
• trvanie zmluvy sa odvíja od trvania hlavného záväzkového vzťahu.

JUDr. Jozef Lukajka, PhD.   –  Mgr. Michaela Pyšná

Advokátska kancelária LUKAJKA & PARTNERS s. r. o.

Zdroje:

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES

Zákon č.  18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v platnom znení a dôvodová správa