Zmluva o spracúvaní osobných údajov

uzavretá podľa § 34 zákona č.18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“) a čl. 28 nariadenia Európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „Nariadenie“)

(ďalej len „Zmluva“)

Platné od 25.5.2018

I. Predmet zmluvy a doba spracúvania

  1. Software ako službu poskytuje spoločnosť UNIO Consulting s.r.o., so sídlom Bakossova 3/C, 974 01 Banská Bystrica , IČO: 45 937 214​ (ďalej aj „prevádzkovateľ“) ako prevádzkovateľ internetovej stránky www.rezervujsi.sk.
  2. Zmluvný vzťah medzi poskytovateľom a fyzickou osobou podnikateľom alebo právnickou osobou (ďalej len „sprostredkovateľ“) vzniká vytvorením užívateľského účtu sprostredkovateľa prostredníctvom registračného formulára na internetovej stránke prevádzkovateľa www.rezervujsi.sk a následnom overení registračného formulára, telefónneho čísla sprostredkovateľa a potvrdením súhlasu sprostredkovateľa s touto osobitnou zmluvou. (ďalej aj „osobitná zmluva“).
  3. Predmetom tejto Zmluvy je poverenie Sprostredkovateľa Prevádzkovateľom, spracúvaním osobných údajov v mene Prevádzkovateľa.
  4. Sprostredkovateľ je oprávnený spracúvať osobné údaje v mene Prevádzkovateľa po dobu neurčitú.

II. Povaha a účel spracúvania osobných údajov

  1. Sprostredkovateľ je oprávnený spracúvať osobné údaje za účelom: Objednanie tovaru alebo služby v rezervačnom systéme prevádzkovateľa, dodanie tovaru alebo služby a fakturácie dotknutých osôb – klientov  pri zavedení a plnení predzmluvných a zmluvných vzťahov

III. Zoznam alebo rozsah osobných údajov

  1. Sprostredkovateľ je oprávnený spracúvať osobné údaje v nasledovnom rozsahu: Titul pred, Titul za, Meno, Priezvisko, adresa trvalého pobytu, číslo telefónu, E-mail, dátum registrácie, poskytnutá služba alebo tovar, dátum poskytnutej služby alebo tovaru

IV. ​Kategórie dotknutých osôb

  1. Sprostredkovateľ je oprávnený spracúvať osobné údaje o klientoch.

V. Práva a povinnosti Prevádzkovateľa

  1. Prevádzkovateľ je povinný poskytovať Sprostredkovateľovi na spracúvanie zákonne získané, správne a aktualizované osobné údaje. V prípade zmeny v poskytnutých údajoch oznámi Prevádzkovateľ tieto zmeny bezodkladne Sprostredkovateľovi.
  2. Prevádzkovateľ je povinný zabezpečiť informovanie dotknutých osôb o tom, že ich údaje spracúva Sprostredkovateľ podľa §19 a §20 Zákona a článku 13 a 14 Nariadenia.
  3. Prevádzkovateľ má právo na preverenie Sprostredkovateľa, či poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení.
  4. V prípade, ak si dotknutá osoba uplatní práva podľa §21 až §28 Zákona a článku 15 až 22 Nariadenia, ktoré má vplyv na spracúvanie poskytnutých osobných údajov Sprostredkovateľom, Prevádzkovateľ bezodkladne informuje o tejto skutočnosti Sprostredkovateľa.
  5. Prevádzkovateľ má právo vyjadriť súhlas/nesúhlas so spracúvaním osobných údajov prostredníctvom ďalšieho Sprostredkovateľa povereného Sprostredkovateľom. V prípade ak Prevádzkovateľ súhlasí so spracúvaním osobných údajov prostredníctvom ďalšieho Sprostredkovateľa, udelí Sprostredkovateľovi písomný súhlas, prostredníctvom prílohy č. 2 tejto zmluvy.


VI. Povinnosti Sprostredkovateľa

  1. Sprostredkovateľ vyhlasuje, že poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky Zákona a Nariadenia tak, aby sa zabezpečila ochrana práv dotknutej osoby. V prípade preukázania nepravdivosti vyhlásenia v zmysle tohto bodu je Sprostredkovateľ povinný nahradiť škodu, ktorá vznikla Prevádzkovateľovi z dôvodu porušenia a nesplnenia záväzkov obsiahnutých v tomto bode v plnej výške.
  2. Sprostredkovateľ je povinný  poskytnúť Prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností podľa bodu 6.1 tejto Zmluvy, prostredníctvom predloženia akéhokoľvek dôveryhodného dôkazu preukazujúceho splnenie týchto povinností podľa Zákona a Nariadenia formou Prílohy č. 1 tejto zmluvy. Sprostredkovateľ môže preukázať splnenie dostatočných záruk schváleným kódexom správania alebo certifikátom podľa Zákona a Nariadenia.
  3. Sprostredkovateľ je povinný poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Prevádzkovateľa alebo audítora, ktorého poveril Prevádzkovateľ.
  4. Sprostredkovateľ je povinný  spracúvať osobné údaje len na základe písomných pokynov Prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Sprostredkovateľ je pri takom prenose povinný oznámiť Prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu.
  5. Sprostredkovateľ je povinný spracúvať osobné údaje podľa pokynov Prevádzkovateľa. Pokiaľ Sprostredkovateľ určí účel a prostriedky spracúvania osobných údajov, považuje sa za Prevádzkovateľa.
  6. Sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Sprostredkovateľ je povinný zabezpečiť mlčanlivosť, resp. zaviazať mlčanlivosťou o osobných údajoch aj fyzické osoby (jeho oprávnené osoby a iné ním osoby zmluvne zaviazané), ktoré prídu do styku s osobnými údajmi u Prevádzkovateľa, alebo Sprostredkovateľa, ak nie sú viazané mlčanlivosťou podľa osobitného zákona. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
  7. Sprostredkovateľ je povinný  vykonať opatrenia podľa § 39 Zákona, a článku 32 Nariadenia, nasledovne:
    • Sprostredkovateľ je povinný zabezpečiť, aby fyzická osoba konajúca za Sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov Prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
    • Súlad s uvedenými požiadavkami možno preukázať schváleným kódexom správania alebo certifikátom podľa Zákona a Nariadenia,
    • Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom,
    • Sprostredkovateľ je povinný prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb  primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä pseudonymizáciu a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov,
  8. Sprostredkovateľ je povinný dodržiavať podmienky zapojenia ďalšieho Sprostredkovateľa, nasledovne:
    • ak Sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene Prevádzkovateľa ďalšieho Sprostredkovateľa, tomuto ďalšiemu Sprostredkovateľovi v Zmluve alebo prostredníctvom iného právneho úkonu je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov ako sú ustanovené v Zmluve alebo v inom právnom úkone medzi Prevádzkovateľom a Sprostredkovateľom, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči Prevádzkovateľovi nesie pôvodný Sprostredkovateľ, ak ďalší Sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
    • Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho Sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu Prevádzkovateľa alebo všeobecného písomného súhlasu Prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať Prevádzkovateľa o poverení ďalšieho Sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu, pričom Prevádzkovateľ má právo vzniesť námietku voči pridaniu, alebo náhrade ďalšieho sprostredkovateľa,
  9. Sprostredkovateľ je povinný  po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa Zákona a Nariadenia.
  10. Sprostredkovateľ je povinný  poskytnúť súčinnosť Prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 Zákona a článkov 32 až 36 Nariadenia s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné Sprostredkovateľovi.
  11. Sprostredkovateľ je povinný zabezpečeným spôsobom vrátiť Prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov a bezpečne vymazať všetky existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov.  Za bezpečný výmaz sa považuje fyzické zničenie nosičov informácií, ich demagnetizácia, alebo bezpečný prepis dát s osobnými údajmi, napríklad použitím bezpečného softvérového nástroja pre vymazanie dát.
  12. Sprostredkovateľ je povinný bez zbytočného odkladu informovať Prevádzkovateľa, ak má za to, že sa pokynom Prevádzkovateľa porušuje Zákon, Nariadenie, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.

VII. Podmienky spracúvania osobných údajov

  1. Sprostredkovateľ zabezpečuje ochranu osobných údajov dotknutých osôb, najmä ich dôvernosť, integritu a dostupnosť, v súlade so Zákonom, Nariadením a opatreniami v oblasti technickej a organizačnej bezpečnosti.
  2. Sprostredkovateľ je poverený vykonávať v neautomatizovanej aj automatizovanej podobe nasledovné spracovateľské operácie: získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie.
  3. Sprostredkovateľ zabezpečí uchovávanie a likvidáciu písomností a uchovávanie, zálohovanie a likvidáciu elektronických dát s osobnými údajmi (ďalej „dáta“) tak, aby nedošlo k porušeniu dostupnosti a integrity osobných údajov, podľa Zákona, osobitného zákona a svojich prijatých bezpečnostných opatrení, a podľa pokynov Prevázdkovateľa: 
    • ​​pre potrebu likvidácie údajov požiada Prevádzkovateľ Sprostredkovateľa emailom, a následne vyžaduje od Sprostredkovateľa spätnú väzbu o vykonaní prostredníctvom emailu
  4. Sprostredkovateľ môže osobné údaje poskytnúť orgánom a inštitúciám, ak to vyžaduje osobitný predpis. Pred takýmto poskytnutím osobných údajov je Sprostredkovateľ povinný Prevádzkovateľa o tomto zamýšľanom poskytnutí informovať. V prípade, ak Prevádzkovateľ určí ďalšie subjekty, ktorým môže Sprostredkovateľ osobné údaje Prevádzkovateľa poskytovať, uvedú sa tieto prostredníctvom Prílohy tejto Zmluvy. V prípade ich zmeny, oznámi tieto zmeny Prevádzkovateľ bezodkladne Sprostredkovateľovi. V prípade, ak Sprostredkovateľ zamýšľa poskytnúť osobné údaje iným príjemcom ako určil Prevádzkovateľ, bezodkladne o tejto skutočnosti informuje Prevádzkovateľa.
  5. Sprostredkovateľ nie je oprávnený vykonávať prenos osobných údajov do tretej krajiny, alebo medzinárodnej organizácii za Prevádzkovateľa. V prípade, ak by Sprostredkovateľ zamýšľal preniesť osobné údaje do tretej krajiny, alebo medzinárodnej organizácii, vyplývajúcej z jeho prijatých bezpečnostných opatrení, je povinný o tejto požiadavke Prevádzkovateľa bezodkladne informovať a zabezpečiť informovanie dotknutých osôb o tejto skutočnosti pred prvým prenosom osobných údajov. Prevádzkovateľ má právo vzniesť námietku proti prenosu osobných údajov do tretích krajín.
  6. Sprostredkovateľ sa zaväzuje, že bude Prevádzkovateľovi oznamovať všetky porušenia ochrany osobných údajov, ktoré u neho vzniknú a môžu mať dopad na osobné údaje Prevádzkovateľa. Tieto skutočnosti je Sprostredkovateľ povinný bezodkladne oznámiť Prevádzkovateľovi, najneskôr však v lehote do 3 dní od ich vzniku, alebo zistenia.
  7. Sprostredkovateľ umožní zodpovednej osobe Prevádzkovateľa nezávislý výkon dohľadu nad ochranou osobných údajov, podľa §46 Zákona a článku 39 Nariadenia v medziach spracúvaných osobných údajov dotknutých osôb prevádzkovateľa, ak takáto osoba bola prevádzkovateľom poverená.


VIII. Záverečné ustanovenia

  1. Zmluvné strany vyhlasujú, že počas platnosti tejto Zmluvy, si obe zmluvné strany budú plniť všetky povinnosti, ktoré im vyplývajú z platných právnych predpisov a tejto Zmluvy.
  2. Zmluvné strany sú povinné poskytnúť si vždy v primeranej lehote potrebnú súčinnosť za účelom riadneho plnenia tejto Zmluvy, ktorá nebude v rozpore s právnymi predpismi.
  3. Všetky práva poskytnuté medzi Zmluvnými stranami na základe tejto Zmluvy sú platné aj voči všetkým ich právnym nástupcom.
  4. Táto Zmluva nadobúda platnosť a účinnosť jej podpisom oboma Zmluvnými stranami.
  5. Táto Zmluva sa netýka spracovania osobných údajov spracovávaných Sprostredkovateľom na iné účely ako je uvedené v tejto Zmluve.
  6. Táto Zmluva je vyhotovená v listinnej vrátane elektronickej podoby. V prípade listinnej podoby je táto Zmluva v 2 vyhotoveniach, po 1 pre každú zo Zmluvných strán.
  7. Akékoľvek zmeny a doplnenia tejto zmluvy je možné vykonávať formou písomných dodatkov, podpísaných oboma zmluvnými stranami, vrátane ich elektronickej podoby.
  8. Všetky oznámenia, vyhlásenia, žiadosti, výzvy a iné úkony v súvislosti s touto Zmluvou a jej plnením, musia byť urobené v písomnej podobe, vrátane elektronickej podoby.
  9. Právne vzťahy výslovne touto Zmluvou neupravené sa spravujú predovšetkým ustanoveniami zákona č. 513/1991 Zb. Obchodného zákonníka, Zákona, Nariadenia a ostatných právnych predpisov.
  10. Táto Zmluva zanikne automaticky ku dňu, ku ktorému bude ukončená spolupráca Prevádzkovateľa a Sprostredkovateľa.
  11. Ukončením Zmluvy sa zmluva od počiatku zrušuje. Tým nie je dotknutá platnosť ustanovení, ktoré svojou povahou majú trvať aj po skončení tejto Zmluvy,
  12. Zmluvné strany si túto Zmluvu prečítali, jeho obsahu porozumeli a súhlasia s ním.