ZMLUVA O SPRACÚVANÍ OSOBNÝCH ÚDAJOV


uzavretá podľa § 34 zákona č.18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“) a čl. 28 nariadenia Európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „Nariadenie“) medzi zmluvnými stranami, ktorými sú prevádzkovateľ a sprostredkovateľ.

(ďalej len „Zmluva“)


Vymedzenie pojmov

Prevádzkovateľom sa pre účely tejto Zmluvy rozumie fyzická osoba – podnikateľ alebo právnická osoba, s ktorou uzatvoril Sprostredkovateľ zmluvný vzťah, v súlade s bodom 5. Všeobecných obchodných podmienok Sprostredkovateľa (ďalej aj ako  „Prevádzkovateľ“).

Sprostredkovateľom sa pre účely tejto Zmluvy rozumie spoločnosť UNIO Consulting s.r.o., so sídlom Bakossova 3/C, 974 01 Banská Bystrica, IČO: 45 937 214 (ďalej aj „Sprostredkovateľ“), ktorá  ako prevádzkovateľ internetovej stránky www.rezervujsi.sk, poskytuje Software ako službu v súlade so Všeobecnými obchodnými podmienkami.

Všeobecnými obchodnými podmienkami sú obchodné podmienky Sprostredkovateľa platné od 25.5.2018, uverejnené a verejne prístupné na internetovej stránke Sprostredkovateľa www.rezervujsi.sk, ktoré upravujú podmienky poskytovania softwaru ako služby (SaaS) zo strany Sprostredkovateľa (ďalej aj ako  „Všeobecné obchodné podmienky“).

Software ako služba (SaaS) je služba poskytovaná Sprostredkovateľom Prevádzkovateľovi, ktorá je bližšie špecifikovaná vo Všeobecných obchodných podmienkach Sprostredkovateľa (ďalej aj ako  „Rezervačný systém“).

Dotknutými osobami sa pre účely tejto Zmluvy rozumejú osoby, ktoré si objednali u Prevádzkovateľa službu alebo tovar, prostredníctvom Rezervačného systému Sprostredkovateľa (ďalej aj ako  „Dotknuté osoby“).


I. Predmet zmluvy a doba spracúvania


  1. Predmetom tejto Zmluvy je poverenie Sprostredkovateľa Prevádzkovateľom, spracúvaním osobných údajov v mene Prevádzkovateľa.
  2. Sprostredkovateľ je oprávnený spracúvať osobné údaje na základe zmluvného vzťahu, ktorý vznikol medzi Prevádzkovateľom a Sprostredkovateľom v súlade s bodom 5. Všeobecných obchodných podmienok, podľa tejto Zmluvy a spôsobom podľa Zákona, osobitných zákonov a  Nariadenia.
  3. Sprostredkovateľ je oprávnený spracúvať osobné údaje v mene Prevádzkovateľa po dobu  trvania zmluvného vzťahu medzi Prevádzkovateľom a Sprostredkovateľom podľa bodu 1.2 tejto Zmluvy.

                                                             

II. Povaha a účel spracúvania osobných údajov



    1. Sprostredkovateľ je oprávnený spracúvať osobné údaje Dotknutých osôb za účelom: Objednanie tovaru alebo služby v Rezervačnom systéme Sprostredkovateľa, dodanie tovaru alebo služby a fakturácie pri zavedení a plnení predzmluvných a zmluvných vzťahov.


III. Zoznam alebo rozsah osobných údajov



    1. Sprostredkovateľ je oprávnený spracúvať osobné údaje v nasledovnom rozsahu: meno, priezvisko, titul, adresa trvalého pobytu, adresa prechodného pobytu, emailová adresa, telefonický kontakt, údaje uvádzané v sprievodnej správe, prihlasovacie meno a heslo (v prípade registrácie), IP adresa, dátum registrácie, poskytnutá služba alebo tovar, dátum poskytnutej služby alebo tovaru.


IV. Kategórie dotknutých osôb



    1. Sprostredkovateľ je oprávnený spracúvať osobné údaje o Dotknutých osobách, ktoré si objednali službu alebo tovar u Prevádzkovateľa prostredníctvom  Rezervačného systému.


V. Práva a povinnosti Prevádzkovateľa



    1. Prevádzkovateľ je povinný poskytovať Sprostredkovateľovi na spracúvanie zákonne získané, správne a aktualizované osobné údaje. V prípade zmeny v poskytnutých údajoch oznámi Prevádzkovateľ tieto zmeny bezodkladne Sprostredkovateľovi.
    2. Prevádzkovateľ je povinný zabezpečiť informovanie Dotknutých osôb o tom, že ich údaje spracúva Sprostredkovateľ podľa §19 a §20 Zákona a článku 13 a 14 Nariadenia.
    3. Prevádzkovateľ má právo na preverenie Sprostredkovateľa, či poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení.
    4. V prípade, ak si Dotknutá osoba uplatní práva podľa §21 až §28 Zákona a článku 15 až 22 Nariadenia, ktoré má vplyv na spracúvanie poskytnutých osobných údajov Sprostredkovateľom, Prevádzkovateľ bezodkladne informuje o tejto skutočnosti Sprostredkovateľa.
    5. Prevádzkovateľ má právo vyjadriť nesúhlas so spracúvaním osobných údajov ďalším sprostredkovateľom, ktorého poveril Sprostredkovateľ.


VI. Povinnosti Sprostredkovateľa



    1. Sprostredkovateľ vyhlasuje, že poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky Zákona a Nariadenia tak, aby sa zabezpečila ochrana práv Dotknutej osoby.
    2. Sprostredkovateľ je povinný  poskytnúť Prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností podľa bodu 6.1 tejto Zmluvy, prostredníctvom predloženia akéhokoľvek dôveryhodného dôkazu preukazujúceho splnenie týchto povinností podľa Zákona a Nariadenia formou Prílohy č. 1 tejto zmluvy. Sprostredkovateľ môže preukázať splnenie dostatočných záruk schváleným kódexom správania alebo certifikátom podľa Zákona a Nariadenia.
    3. Sprostredkovateľ je povinný poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Prevádzkovateľa alebo audítora, ktorého poveril Prevádzkovateľ.
    4. Sprostredkovateľ je povinný  spracúvať osobné údaje len na základe písomných pokynov Prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Sprostredkovateľ je pri takom prenose povinný oznámiť Prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu.
    5. Sprostredkovateľ je povinný spracúvať osobné údaje podľa pokynov Prevádzkovateľa. Pokiaľ Sprostredkovateľ určí účel a prostriedky spracúvania osobných údajov, považuje sa v súvislosti s týmto spracúvaním osobných údajov za Prevádzkovateľa.
    6. Sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Sprostredkovateľ je povinný zabezpečiť mlčanlivosť, resp. zaviazať mlčanlivosťou o osobných údajoch aj fyzické osoby (jeho oprávnené osoby a iné ním osoby zmluvne zaviazané), ktoré prídu do styku s osobnými údajmi u Prevádzkovateľa, alebo Sprostredkovateľa, ak nie sú viazané mlčanlivosťou podľa osobitného zákona. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
    7. Sprostredkovateľ je povinný  vykonať opatrenia podľa § 39 Zákona, a článku 32 Nariadenia, nasledovne:
      1. Sprostredkovateľ je povinný prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb  primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä pseudonymizáciu a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov,
      2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom,
      3. Súlad s uvedenými požiadavkami možno preukázať schváleným kódexom správania alebo certifikátom podľa Zákona a Nariadenia,
      4. Sprostredkovateľ je povinný zabezpečiť, aby fyzická osoba konajúca za Sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov Prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
    8. Sprostredkovateľ je povinný dodržiavať podmienky zapojenia ďalšieho               Sprostredkovateľa, nasledovne:
      1. Prevádzkovateľ podpisom tejto zmluvy udeľuje Sprostredkovateľovi súhlas s poverením spracúvania osobných údajov ďalšími sprostredkovateľmi. Sprostredkovateľ je povinný vopred informovať Prevádzkovateľa o poverení ďalšieho sprostredkovateľa, pričom Prevádzkovateľ má právo vzniesť námietku voči pridaniu, alebo náhrade ďalšieho sprostredkovateľa.
      2. ak Sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene Prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v Zmluve alebo prostredníctvom iného právneho úkonu je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov ako sú ustanovené v Zmluve alebo v inom právnom úkone medzi Prevádzkovateľom a Sprostredkovateľom, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči Prevádzkovateľovi nesie pôvodný Sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
    9. Sprostredkovateľ je povinný  po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti Dotknutej osoby podľa Zákona a Nariadenia.
    10. Sprostredkovateľ je povinný  poskytnúť súčinnosť Prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 Zákona a článkov 32 až 36 Nariadenia s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné Sprostredkovateľovi.
    11. Sprostredkovateľ je povinný zabezpečeným spôsobom vrátiť Prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov a bezpečne vymazať všetky existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov.  Za bezpečný výmaz sa považuje fyzické zničenie nosičov informácií, ich demagnetizácia, alebo bezpečný prepis dát s osobnými údajmi, napríklad použitím bezpečného softvérového nástroja pre vymazanie dát.
    12. Sprostredkovateľ je povinný bez zbytočného odkladu informovať Prevádzkovateľa, ak má za to, že sa pokynom Prevádzkovateľa porušuje Zákon, Nariadenie, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.



VII.Podmienky spracúvania osobných údajov



    1. Sprostredkovateľ zabezpečuje ochranu osobných údajov Dotknutých osôb, najmä ich dôvernosť, integritu a dostupnosť, v súlade so Zákonom, Nariadením a opatreniami v oblasti technickej a organizačnej bezpečnosti.
    2. Sprostredkovateľ je poverený vykonávať v neautomatizovanej aj automatizovanej podobe nasledovné spracovateľské operácie: získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie.
    3. Sprostredkovateľ zabezpečí uchovávanie a likvidáciu písomností a uchovávanie, zálohovanie a likvidáciu elektronických dát s osobnými údajmi (ďalej „dáta“) tak, aby nedošlo k porušeniu dostupnosti a integrity osobných údajov, podľa Zákona, osobitného zákona a svojich prijatých bezpečnostných opatrení a podľa pokynov Prevádzkovateľa. Za účelom likvidácie osobných údajov Dotknutých osôb u Sprostredkovateľa, požiada Prevádzkovateľ Sprostredkovateľa e-mailom o vykonanie likvidácie týchto osobných údajov a zaslanie potvrdenia o likvidácii osobných údajov, ktoré zašle Sprostredkovateľ Prevádzkovateľovi e-mailom. 
    4. Sprostredkovateľ môže osobné údaje poskytnúť orgánom a inštitúciám, ak to vyžaduje osobitný predpis. Pred takýmto poskytnutím osobných údajov je Sprostredkovateľ povinný Prevádzkovateľa o tomto zamýšľanom poskytnutí informovať. V prípade, ak Prevádzkovateľ určí ďalšie subjekty, ktorým môže Sprostredkovateľ osobné údaje Prevádzkovateľa poskytovať, uvedú sa tieto prostredníctvom Prílohy č. 2 tejto Zmluvy. V prípade ich zmeny, oznámi tieto zmeny Prevádzkovateľ bezodkladne Sprostredkovateľovi.
    5. Sprostredkovateľ nie je oprávnený vykonávať prenos osobných údajov do tretej krajiny, alebo medzinárodnej organizácii za Prevádzkovateľa. V prípade, ak by Sprostredkovateľ zamýšľal preniesť osobné údaje do tretej krajiny, alebo medzinárodnej organizácie, vyplývajúcej z jeho prijatých bezpečnostných opatrení, je povinný o tejto požiadavke Prevádzkovateľa bezodkladne informovať a zabezpečiť informovanie dotknutých osôb o tejto skutočnosti pred prvým prenosom osobných údajov. Prevádzkovateľ má právo vzniesť námietku proti prenosu osobných údajov do tretích krajín.
    6. Sprostredkovateľ sa zaväzuje, že bude Prevádzkovateľovi oznamovať všetky porušenia ochrany osobných údajov, ktoré u neho vzniknú a môžu mať dopad na osobné údaje Prevádzkovateľa. Tieto skutočnosti je Sprostredkovateľ povinný bezodkladne oznámiť Prevádzkovateľovi, najneskôr však v lehote do 3 dní od ich vzniku, alebo zistenia.
    7. Sprostredkovateľ umožní zodpovednej osobe Prevádzkovateľa nezávislý výkon dohľadu nad ochranou osobných údajov, podľa §46 Zákona a článku 39 Nariadenia v medziach spracúvaných osobných údajov Dotknutých osôb Prevádzkovateľa, ak takáto osoba bola Prevádzkovateľom poverená.



VIII. Záverečné ustanovenia



    1. Zmluvné strany vyhlasujú, že počas platnosti tejto Zmluvy, si obe zmluvné strany budú plniť všetky povinnosti, ktoré im vyplývajú z platných právnych predpisov a tejto Zmluvy.
    2. Zmluvné strany sú povinné poskytnúť si vždy v primeranej lehote potrebnú súčinnosť za účelom riadneho plnenia tejto Zmluvy, ktorá nebude v rozpore s právnymi predpismi.
    3. Všetky práva poskytnuté medzi zmluvnými stranami na základe tejto Zmluvy sú platné aj voči všetkým ich právnym nástupcom.
    4. Táto Zmluva sa netýka spracovania osobných údajov spracovávaných Sprostredkovateľom na iné účely ako je uvedené v tejto Zmluve.
    5. Táto Zmluva je vyhotovená v elektronickej podobe.
    6. Akékoľvek zmeny a doplnenia tejto Zmluvy je možné vykonávať formou písomných dodatkov, vrátane ich elektronickej podoby.
    7. Všetky oznámenia, vyhlásenia, žiadosti, výzvy a iné úkony v súvislosti s touto Zmluvou a jej plnením, musia byť urobené v písomnej podobe, vrátane elektronickej podoby.
    8. Právne vzťahy výslovne touto Zmluvou neupravené sa spravujú predovšetkým ustanoveniami zákona č. 513/1991 Zb. Obchodného zákonníka, Zákona, Nariadenia a ostatných právnych predpisov platných na území SR.
    9. Táto Zmluva zanikne automaticky ku dňu, ku ktorému bude ukončená spolupráca Prevádzkovateľa a Sprostredkovateľa.
    10. Zmluvné strany si túto Zmluvu prečítali, jeho obsahu porozumeli a súhlasia s ním, na znak čoho elektronickou formou potvrdili súhlas s jej uzatvorením.




Príloha č.1.


Čestné prehlásenie Sprostredkovateľa o splnení povinností podľa Zákona a Nariadenia, resp. iný dôkaz preukazujúci splnenie povinností Sprostredkovateľa podľa Zákona a Nariadenia


Príloha č.2.


Súhlas Prevádzkovateľa na spracúvanie osobných údajov prostredníctvom ďalšieho Sprostredkovateľa


Prevádzkovateľ súhlasí so spracúvaním osobných údajov Sprostredkovateľom prostredníctvom iných osôb - zmluvných partnerov Sprostredkovateľa (ďalej len „Ďalší Sprostredkovateľ“).

Ďalší Sprostredkovateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť Sprostredkovateľa. Ustanovenia zákona a tejto zmluvy o spracúvaní osobných údajov prostredníctvom Sprostredkovateľa sa vzťahujú aj na Ďalšieho Sprostredkovateľa.

Zodpovednosť voči Prevádzkovateľovi nesie pôvodný Sprostredkovateľ, ak Ďalší Sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.

Pre splnenie účelu podľa tejto Zmluvy poveril Sprostredkovateľ prostredníctvom zmluvy, alebo iného právneho aktu spracúvaním osobných údajov dotknutých osôb prevádzkovateľa nasledovných.