Zmluva o spracúvaní osobných údajov

uzavreté v súlade s ustanoveniami čl. 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie“), resp. podľa ustanovenia § 34 zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „Zákon“) medzi Prevádzkovateľom a Sprostredkovateľom.
Táto Zmluva o spracúvaní osobných údajov je dodatkom a tvorí súčasť Zmluvy o poskytovaní služieb medzi Luigi’s Box (ďalej len „Luigi’s Box“ a „Sprostredkovateľ“) a zmluvnou stranou označenou v Zmluve o poskytovaní služieb ako Zákazník (ďalej len „Zákazník“ alebo „Prevádzkovateľ“). Táto Zmluva stanovuje podmienky, ktoré sa vzťahujú na zmluvné strany pri spracúvaní osobných údajov v súvislosti s poskytovaním Služieb.

1. PREAMBULA

1.1 Táto Zmluva o spracovaní osobných údajov (ďalej len „Zmluva“) upravuje podmienky spracúvania osobných údajov Sprostredkovateľom v mene Prevádzkovateľa pri plnení záväzkov vyplývajúcich zo Zmluvy o poskytovaní služieb uzatvorenej medzi Zmluvnými stranami (ďalej len „Zmluva o poskytovaní služieb“).

1.2 Predmetom Zmluvy je záväzok Sprostredkovateľa poskytovať Prevádzkovateľovi služby súvisiace s digitálnymi marketingovými technológiami, ktorých rozsah je dohodnutý v Zmluve o poskytovaní služieb. Pri poskytovaní týchto služieb môže dochádzať k spracúvaniu osobných údajov fyzických osôb na základe pokynu Prevádzkovateľa a záväzku Prevádzkovateľa zaplatiť Sprostredkovateľovi za tieto služby dohodnutú odmenu.

2. PREDMET ZMLUVY

2.1 Predmetom tejto Zmluvy je oprávnenie Sprostredkovateľa spracúvať osobné údaje fyzických osôb v mene Prevádzkovateľa, a to výlučne v súvislosti s poskytovaním služieb Sprostredkovateľa, ktoré sú definované v Zmluve o poskytovaní služieb a/alebo v jednotlivých objednávkach Prevádzkovateľa.

2.2 Sprostredkovateľ je oprávnený spracúvať osobné údaje pre Prevádzkovateľa len v rozsahu, za podmienok a na účel dohodnutý s Prevádzkovateľom a spôsobom stanoveným Nariadením, Zákonom a inými všeobecne záväznými právnymi predpismi (ďalej spoločne len „Nariadenia o ochrane osobných údajov“).

3. ÚČEL A ROZSAH SPRACÚVANIA OSOBNÝCH ÚDAJOV

3.1 Účelom spracúvania osobných údajov Sprostredkovateľom je riadne poskytovanie dohodnutých služieb v súlade so Zmluvou o poskytovaní služieb a/alebo individuálnou objednávkou služieb (ďalej len „Účel“).

3.2 Kategórie dotknutých osôb, ktorých sa osobné údaje spracúvané podľa tejto Zmluvy týkajú, sú uvedené v Prílohe 1 tejto Zmluvy.

3.3 Predmetom spracúvania sú osobné údaje dotknutých osôb, ktoré sú nevyhnutné na splnenie Účelu a ktorých presný rozsah závisí od charakteru poskytovanej služby podľa Zmluvy o poskytovaní služieb (ďalej len „osobné údaje“); predmetom spracúvania nie je osobitná kategória osobných údajov podľa čl. 9 Nariadenia. Druhy osobných údajov sú uvedené v Prílohe 1 tejto Zmluvy.

3.4 Sprostredkovateľ je oprávnený spracúvať Osobné údaje len na stanovený Účel a vykonávať s Osobnými údajmi pre Prevádzkovateľa len tie operácie, ktoré sú nevyhnutné na poskytovanie služieb a v súlade so Zmluvou o poskytovaní služieb alebo individuálnou objednávkou a spracúvať Osobné údaje na stanovený Účel v súlade s dokumentovanými pokynmi a inštrukciami Prevádzkovateľa.

4.PRÁVA A POVINNOSTI PREVÁDZKOVATEĽA

4.1 Prevádzkovateľ:

4.1.1 je povinný spracúvať osobné údaje v súlade s Nariadením o ochrane osobných údajov;

4.1.2 je oprávnený poveriť Sprostredkovateľa spracovaním len takých Osobných údajov, ktoré Prevádzkovateľ získal a spracúva v súlade s Nariadením o ochrane osobných údajov;

4.1.3 je oprávnený poskytnúť Sprostredkovateľovi písomné (v listinnej alebo elektronickej podobe) pokyny týkajúce sa spracúvania osobných údajov na dosiahnutie Účelu. Takéto pokyny sú pre Sprostredkovateľa záväzné za predpokladu, že vykonanie týchto pokynov si vyžaduje poskytnutie služieb v súlade so Zmluvou o poskytovaní služieb alebo objednávkou jednotlivých služieb alebo ak si vykonanie týchto pokynov vyžaduje dodatočné náklady na strane Sprostredkovateľa v súvislosti s vykonaním týchto pokynov a Prevádzkovateľ uhradí všetky vzniknuté náklady. Sprostredkovateľ nevykoná pokyny Prevádzkovateľa, ktoré sú v rozpore s akýmkoľvek ustanovením tejto Zmluvy alebo sú v rozpore s Právnymi predpismi o ochrane osobných údajov;

4.1.4 je vždy zodpovedný za spracovanie Osobných údajov. Ak dotknutá osoba požiada o poskytnutie informácií o spracúvaní osobných údajov, o opravu alebo vymazanie osobných údajov, namieta zákonnosť spracúvania osobných údajov alebo inak požaduje ukončenie spracúvania osobných údajov alebo blokovanie osobných údajov, je Prevádzkovateľ povinný dať Sprostredkovateľovi písomný (v listinnej alebo elektronickej podobe) pokyn na vykonanie potrebných opatrení.

5. PRÁVA A POVINNOSTI SPROSTREDKOVATEĽA

5.1 Sprostredkovateľ je povinný:

5.1.1 spracúvať Osobné údaje len v súlade s písomnými (v listinnej alebo elektronickej podobe) pokynmi Prevádzkovateľa, ktoré smerujú k naplneniu Účelu a Zmluvy o poskytovaní služieb; tieto pokyny sú pre Sprostredkovateľa záväzné, ak nie je v Zmluve uvedené inak;

5.1.2 nepoužívať Osobné údaje na iné účely, ako sú uvedené v tejto Zmluve a v Zmluve o poskytovaní služieb, a nekombinovať Osobné údaje s inými osobnými údajmi získanými, evidovanými alebo inak spracúvanými Sprostredkovateľom bez predchádzajúceho písomného pokynu Prevádzkovateľa, a to ani za účelom dosiahnutia rovnakého účelu (napr. priradenie údajov z vlastných/verejných databáz a pod.);

5.1.3 spracúvať len tie Osobné údaje, ktoré rozsahom a obsahom zodpovedajú zamýšľanému Účelu a sú nevyhnutné na jeho dosiahnutie;

5.1.4 spracúvať Osobné údaje v súlade so zavedenými postupmi spracúvania osobných údajov a prevládajúcimi štandardmi v oblasti správy informácií a v súlade s Nariadeniami o ochrane osobných údajov;

5.1.5 v prípade, že získa Osobné údaje v mene Prevádzkovateľa, poskytnúť dotknutým osobám informácie v súlade s čl. 13 a 14 Nariadenia; ak Prevádzkovateľ požiada o použitie vlastných informačných materiálov na účely splnenia informačnej povinnosti, poskytne tieto materiály Sprostredkovateľovi bez zbytočného odkladu po uzavretí tejto Zmluvy alebo po pokyne na získanie Osobných údajov v jeho mene;

5.1.6 poskytnúť Prevádzkovateľovi súčinnosť pri plnení jeho povinností v súvislosti so žiadosťami dotknutých osôb a poskytnúť Prevádzkovateľovi súčinnosť pri zabezpečení plnenia povinností podľa čl. 32 až 36 Nariadenia s prihliadnutím na povahu spracúvania a informácie, ktoré má Sprostredkovateľ k dispozícii;

5.1.7 bezodkladne informovať Prevádzkovateľa o každej žiadosti alebo uplatnení práv dotknutej osoby a zároveň bezodkladne zaslať Prevádzkovateľovi príslušné podanie dotknutej osoby a súvisiacu dokumentáciu;

5.1.8 v prípade narušenia ochrany osobných údajov, t. j. v prípade porušenia bezpečnostných opatrení vedúcich k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu alebo zverejneniu Osobných údajov, je Sprostredkovateľ povinný oznámiť Prevádzkovateľovi každé porušenie ochrany Osobných údajov bez zbytočného odkladu po tom, ako sa o porušení dozvedel. Písomné oznámenie podľa tohto odseku obsahuje opis povahy porušenia ochrany osobných údajov, kategóriu a približný počet dotknutých osôb a záznamov osobných údajov, ktorých sa porušenie ochrany osobných údajov týka, opis pravdepodobných dôsledkov porušenia ochrany osobných údajov a opis opatrení prijatých na nápravu porušenia ochrany osobných údajov. Ak nie je možné poskytnúť všetky uvedené informácie naraz, tieto informácie môžu byť poskytnuté postupne, bez zbytočných odkladov.

5.1.9 bezodkladne informovať Prevádzkovateľa o kontrolách a opatreniach prijatých dozorným orgánom voči Sprostredkovateľovi, ako aj o vedení občianskoprávneho, trestného alebo správneho konania voči Sprostredkovateľovi, ak sa týkajú zmluvného vzťahu medzi Prevádzkovateľom a Sprostredkovateľom a/alebo spracúvania osobných údajov podľa Zmluvy;

5.1.10 pravidelne monitorovať interné procesy a technické a organizačné opatrenia s cieľom zabezpečiť, aby spracúvanie v rámci zodpovednosti Sprostredkovateľa bolo v súlade s požiadavkami Nariadenia o ochrane osobných údajov;

5.1.11 spracúvať Osobné údaje len po špecifikovanú dobu trvania tejto Zmluvy.

5.2 Sprostredkovateľ je taktiež oprávnený spracúvať Osobné údaje na účely, ktoré vyplývajú z osobitných právnych predpisov alebo takéto spracúvanie vyžaduje príslušný súd alebo správny orgán. V prípade, že súd alebo správny orgán nariadi Sprostredkovateľovi akékoľvek opatrenie alebo úkon súvisiaci s Osobnými údajmi, je Sprostredkovateľ povinný bez zbytočného odkladu informovať Prevádzkovateľa o doručení takejto žiadosti ešte pred tým, ako na túto žiadosť odpovie alebo vykoná iný úkon týkajúci sa spracúvaných Osobných údajov, alebo v čo najkratšom možnom čase v prípade, že je Sprostredkovateľ povinný poskytnúť okamžitú odpoveď príslušnému súdu alebo správnemu orgánu, pokiaľ by oznámenie Prevádzkovateľovi nebolo v rozpore s osobitnými právnymi predpismi alebo rozhodnutím súdu alebo správneho orgánu.

6. OCHRANA OSOBNÝCH ÚDAJOV

6.1 Sprostredkovateľ zabezpečí ochranu Osobných údajov zavedením a zdokumentovaním bezpečnostných opatrení v súlade s čl. 28 ods. 3 písm. c) a čl. 32 Nariadenia v spojení s čl. 5 ods. 1 a ods. 2 nariadenia. Bezpečnostné opatrenia, ktoré sa majú prijať, musia zabezpečiť ochranu osobných údajov s úrovňou bezpečnosti zodpovedajúcou riziku, ktoré predstavuje spracúvanie pre práva dotknutých osôb, a s cieľom zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania, aby sa zabránilo náhodnému alebo nezákonnému zničeniu, strate, neoprávnenému poskytnutiu, zverejneniu osobných údajov, neoprávnenému prístupu k nim alebo akejkoľvek inej neoprávnenej operácii spracúvania.

6.2 Sprostredkovateľ je povinný mať zavedený systém riadenia rizík vo vzťahu k dotknutým osobám v zmysle Nariadenia a tiež systém riadenia rizík informačnej bezpečnosti vo vzťahu k technickým prostriedkom, v rámci ktorých sa spracúvajú Osobné údaje. Prevádzkovateľ má právo požiadať o poskytnutie dokumentácie o prijatých technických a organizačných opatreniach, a to najneskôr do 30 dní od zaslania žiadosti Prevádzkovateľa.

6.3 Sprostredkovateľ, jeho zamestnanci a ďalšie osoby, ktoré sa prostredníctvom Sprostredkovateľa stretávajú s Osobnými údajmi, sú povinní zachovávať o nich mlčanlivosť; povinnosť mlčanlivosti trvá aj po ukončení spracúvania Osobných údajov. Sprostredkovateľ je oprávnený sprístupniť Osobné údaje zamestnancom alebo iným osobám, s ktorými je v právnom vzťahu, len na zabezpečenie svojich povinností pri plnení Účelu a za podmienok stanovených v tejto Zmluve.

6.4 V prípade poskytovania Osobných údajov zamestnancom alebo iným osobám, s ktorými je Sprostredkovateľ v právnom vzťahu, je Sprostredkovateľ povinný tieto osoby informovať o tom, že povinnosť dodržiavať ustanovenia tohto článku Zmluvy a zaväzovať tieto osoby bude trvať aj po skončení právneho vzťahu tejto osoby.

6.5 Sprostredkovateľ neposkytne Osobné údaje žiadnym tretím osobám, pokiaľ takéto poskytnutie nie je nevyhnutné pre:

6.5.1 zamestnancov Sprostredkovateľa,

6.5.2 subdodávateľov podľa čl. 8 Zmluvy,

6.5.3 tretím osobám, ak takéto poskytnutie vyžaduje zákon alebo právoplatné a vykonateľné rozhodnutie súdu alebo iného orgánu verejnej moci Slovenskej republiky.

7.OSTATNÉ POVINNOSTI ZMLUVNÝCH STRÁN

7.1 Zmluvné strany sa zaväzujú poskytnúť si vzájomnú súčinnosť potrebnú na dodržiavanie ustanovení Zmluvy a na zabezpečenie súladu s predpismi o ochrane osobných údajov.

7.2 Ak v súvislosti s porušením povinnosti Prevádzkovateľa vyplývajúcej zo Zmluvy a/alebo Nariadenia o ochrane osobných údajov vznikne Sprostredkovateľovi škoda alebo iná ujma, je Prevádzkovateľ povinný túto škodu alebo inú ujmu Sprostredkovateľovi nahradiť v plnej výške.

7.3 Ak v súvislosti s porušením povinnosti Sprostredkovateľa vyplývajúcej zo Zmluvy a/alebo Nariadenia o ochrane osobných údajov vznikne akákoľvek škoda alebo iná ujma, Sprostredkovateľ je povinný túto škodu alebo inú ujmu Prevádzkovateľovi nahradiť v plnej výške.

8.SUBDODÁVATELIA

8.1 Prevádzkovateľ súhlasí s tým, že Sprostredkovateľ môže do výkonu spracovateľských činností, ktoré vykonáva pre Prevádzkovateľa v rámci poskytovania služieb na základe Zmluvy o poskytovaní služieb alebo na základe individuálnej objednávky, zapojiť ďalších sprostredkovateľov (ďalej len „Subdodávateľ“).

8.2 Sprostredkovateľ je oprávnený zapojiť do výkonu spracovateľských činností podľa bodu 8.1. Zmluvy Subdodávateľa, ak s ním uzavrie písomnú zmluvu, ktorá ukladá Subdodávateľovi rovnaké povinnosti týkajúce sa ochrany osobných údajov ako Sprostredkovateľovi voči Prevádzkovateľovi podľa tejto Zmluvy. Ak si Subdodávateľ nesplní svoje povinnosti podľa tejto Zmluvy týkajúce sa ochrany osobných údajov, Sprostredkovateľ v plnom rozsahu zodpovedá Prevádzkovateľovi za nesplnenie týchto povinností Subdodávateľom.

8.3 Sprostredkovateľ je povinný vopred oznámiť Prevádzkovateľovi akékoľvek zmeny v súvislosti s pristúpením alebo výmenou Subdodávateľov. Ak Prevádzkovateľ nevyjadrí svoj nesúhlas písomne do 15 kalendárnych dní odo dňa, keď bol o danej zmene informovaný, Sprostredkovateľ môže využiť nového Subdodávateľa. Ak Prevádzkovateľ v uvedenej lehote vyjadrí nesúhlas, Sprostredkovateľ vynaloží primerané úsilie na zmenu Subdodávateľa. Ak Sprostredkovateľ nie je schopný vykonať takéto zmeny do 60 kalendárnych dní, Prevádzkovateľ môže písomne vypovedať túto Zmluvu do 30 dní od oznámenia o nezmenení Subdodávateľa (alebo odo dňa oznámenia o zmene Subdodávateľa, ak Sprostredkovateľ neinformoval Prevádzkovateľa o zabezpečení náhradného Subdodávateľa). Prevádzkovateľ môže túto Zmluvu vypovedať písomnou výpoveďou s výpovednou lehotou jeden mesiac odo dňa doručenia výpovede Ak Prevádzkovateľ v uvedenej lehote neoznámi Sprostredkovateľovi výpoveď Zmluvy, má sa za to, že súhlasí s využitím pôvodne navrhovaného Subdodávateľa.

9. KONTROLNÉ PRÁVOMOCI PREVÁDZKOVATEĽA

9.1 Ak o to Prevádzkovateľ požiada, Sprostredkovateľ umožní Prevádzkovateľovi alebo ním poverenému nezávislému externému audítorovi vykonať kontrolu v systémoch spracúvania osobných údajov; táto kontrola je obmedzená na posúdenie dodržiavania povinností podľa tejto Zmluvy a v žiadnom prípade sa nesmie vzťahovať na prístup k akýmkoľvek údajom iných zákazníkov Sprostredkovateľa. Termín kontroly musí byť vždy dohodnutý vopred, najmenej desať (10) pracovných dní pred plánovanou kontrolou.

9.2 Sprostredkovateľ informuje Prevádzkovateľa, ak podľa jeho názoru pokyny Prevádzkovateľa porušujú predpisy o ochrane osobných údajov. Ak Prevádzkovateľ trvá na splnení pokynu, ktorý je podľa názoru Sprostredkovateľa v rozpore s Nariadením o ochrane osobných údajov, Sprostredkovateľ si vyhradzuje právo takýto pokyn nesplniť, ako aj právo odstúpiť od Zmluvy.

10. PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN

10.1  Zmluvne dohodnuté spracúvanie Osobných údajov vykonáva Sprostredkovateľ v členskom štáte Európskej únie alebo v štáte, ktorý je súčasťou Európskeho hospodárskeho priestoru.

10.2 Prenos Osobných údajov do štátu nachádzajúceho sa na území iného štátu ako štátu uvedeného v bode 10.1. Zmluvy sa môže uskutočniť len s predchádzajúcim písomným súhlasom Sprostredkovateľa a za osobitných podmienok uvedených v čl. 44 až 50 Nariadenia.

11.DOBA SPRACOVANIA OSOBNÝCH ÚDAJOV

11.1 Sprostredkovateľ je oprávnený začať spracúvať Osobné údaje v súlade so Zmluvou najskôr odo dňa nadobudnutia účinnosti tejto Zmluvy a tiež Zmluvy o poskytovaní služieb a jeho oprávnenie spracúvať trvá po celú dobu trvania tejto Zmluvy.

11.2 Platnosť tejto Zmluvy trvá do skončenia platnosti Zmluvy o poskytovaní služieb.

12.VRÁTENIE ALEBO VYMAZANIE OSOBNÝCH ÚDAJOV

12.1 Po ukončení Zmluvy je Sprostredkovateľ povinný vymazať alebo vrátiť Prevádzkovateľovi alebo tretej osobe určenej Prevádzkovateľom všetky Osobné údaje na základe osobitných pokynov Prevádzkovateľa. Ak Prevádzkovateľ požiada o vrátenie Osobných údajov, je povinný uhradiť Sprostredkovateľovi náklady, ktoré mu vznikli v súvislosti s vrátením Osobných údajov.

12.2 Ak Prevádzkovateľ neposkytne Sprostredkovateľovi žiadne pokyny v súvislosti s výmazom alebo vrátením Osobných údajov do 15 kalendárnych dní od skončenia platnosti Zmluvy, Sprostredkovateľ zašle Prevádzkovateľovi písomnú žiadosť, v ktorej ho požiada o zaslanie pokynov na výmaz alebo vrátenie Osobných údajov do 15 kalendárnych dní. Ak Prevádzkovateľ v tejto dodatočnej lehote neposkytne písomné pokyny a neuhradí náklady vzniknuté v prípade vrátenia Osobných údajov, platí, že Sprostredkovateľ je oprávnený vymazať všetky Osobné údaje.

12.3 Povinnosť vrátiť alebo vymazať Osobné údaje nemá vplyv na informácie, ktoré je Sprostredkovateľ povinný uchovávať na základe všeobecne záväzných právnych predpisov aj po skončení platnosti Zmluvy a Zmluvy o poskytovaní služieb.

12.4 Na žiadosť Prevádzkovateľa Sprostredkovateľ písomne potvrdí vymazanie alebo vrátenie Osobných údajov.

13.ZÁVEREČNÉ USTANOVENIA

13.1 Táto Zmluva nahrádza všetky predchádzajúce dohody medzi Prevádzkovateľom a Sprostredkovateľom týkajúce sa ochrany osobných údajov.

13.2 Právne vzťahy zmluvných strán, ktoré nie sú bližšie upravené touto Zmluvou, sa riadia príslušnými ustanoveniami Nariadenia, Zákona a zákona č. 513/1991 Zb. obchodného zákonníka v znení neskorších predpisov a ostatnými príslušnými právnymi predpismi Slovenskej republiky.

13.3 Zmluvné strany vyhlasujú, že si Zmluvu pred jej uzavretím pozorne prečítali, jej obsahu porozumeli a, potvrdzujú, že Zmluva zodpovedá ich skutočnej a slobodnej vôli a že Zmluva nebola uzavretá pod nátlakom ani za nápadne nevýhodných podmienok.