Pravidlá spracúvania osobných údajov v mene Príjemcu

 

podľa § 34 zákona č.18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“) a čl. 28 nariadenia Európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „Nariadenie“)

(ďalej len „Pravidlá“)

 

I. Predmet Pravidiel a doba spracúvania

 1.1     Predmetom týchto pravidiel je poverenie prevádzkovateľa darcovského systému DARUJME.sk, ktorým je Centrum pre filantropiu n.o., so sídlom Baštová 5, 811 03 Bratislava, IČO: 31 821 871, registrovaná v registri neziskových organizácií vedenom Ministerstvom vnútra Slovenskej republiky, registrový úrad: Okresný úrad Bratislava, reg. č. OVVS-530 / 49 / 2002 – NO (ďalej len „Sprostredkovateľ“) spracúvaním osobných údajov v mene záujemcu o získanie príspevku, ktorý je mimovládnou neziskovou organizáciou, ktorá využíva Darcovský systém DARUJME.sk (ďalej len „Príjemca“) (Sprostredkovateľ a Príjemca spolu aj ako „Zmluvné strany“).

1.2     Sprostredkovateľ je oprávnený spracúvať osobné údaje na základe zmluvy uzavretej so Sprostredkovateľom v súlade s Pravidlami používania internetového darcovského systému DARUJME.sk, ktoré sú k dispozícii TU (ďalej len „Pravidlá DARUJME.sk“), podľa týchto Pravidiel a spôsobom podľa Zákona, osobitných zákonov a  Nariadenia.

1.3     Sprostredkovateľ je oprávnený spracúvať osobné údaje v mene Príjemcu po dobu trvania osobitnej zmluvy podľa bodu 1.2 tejto Zmluvy.

 

 

II. Povaha a účel spracúvania osobných údajov

2.1  Sprostredkovateľ je oprávnený spracúvať osobné údaje za účelom vyplývajúcim zo zmluvy podľa bodu 1.2 a z Pravidiel ochrany osobných údajov, ktoré sú k dispozícii TU (ďalej len „Pravidlá OOU“).

 

 

III. Zoznam alebo rozsah osobných údajov

 3.1  Sprostredkovateľ je oprávnený spracúvať osobné údaje v  rozsahu stanovenom v Pravidlách ochrany OU.

 

 

IV. Kategórie dotknutých osôb

 4.1  Sprostredkovateľ je oprávnený spracúvať osobné údaje o dotknutých osobách, ktorými sú darcovia – fyzické osoby tak ako ich definujú Pravidlá DARUJME.sk

 

 

V. Práva a povinnosti Príjemcu

 5.1  Príjemca je povinný poskytovať Sprostredkovateľovi na spracúvanie zákonne získané, správne a aktualizované osobné údaje. V prípade zmeny v poskytnutých údajoch oznámi Príjemca tieto zmeny bezodkladne Sprostredkovateľovi.

5.2     Príjemca je povinný zabezpečiť informovanie dotknutých osôb o tom, že ich údaje spracúva Sprostredkovateľ podľa §19 a §20 Zákona a článku 13 a 14 Nariadenia.

5.3     Príjemca má právo na preverenie Sprostredkovateľa, či poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení.

5.4     V prípade, ak si dotknutá osoba uplatní práva podľa §21 až §28 Zákona a článku 15 až 22 Nariadenia, ktoré má vplyv na spracúvanie poskytnutých osobných údajov Sprostredkovateľom, Príjemca bezodkladne informuje o tejto skutočnosti Sprostredkovateľa.

5.5     Príjemca má právo vyjadriť súhlas/nesúhlas so spracúvaním osobných údajov prostredníctvom ďalšieho Sprostredkovateľa povereného Sprostredkovateľom. V prípade ak Príjemca súhlasí so spracúvaním osobných údajov prostredníctvom ďalšieho Sprostredkovateľa, udelí Sprostredkovateľovi písomný súhlas, prostredníctvom vzoru uvedeného na konci týchto Pravidiel. Sprostredkovateľ súhlasí so spracúvaním osobných údajov nasledovnými ďalšími sprostredkovateľmi, resp. kategóriami ďalších sprostredkovateľov:

1, ĽUDIA ĽUĎOM, n.o., so sídlom: Borská 2999/6, 841 04 Bratislava, IČO: 42 166 683, ktorý pre Sprostredkovateľa zabezpečuje prevádzkovanie platobného systému,

2, BACKBONE, s.r.o., so sídlom: Medená 25, 811 02 Bratislava, IČO: 36 846 104, ktorý pre Sprostredkovateľa vykonáva správu a údržbu informačného systému DARUJME.sk a poskytuje Sprostredkovateľovi webhosting.

 

 

VI. Povinnosti Sprostredkovateľa

6.1     Sprostredkovateľ vyhlasuje, že poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky Zákona a Nariadenia tak, aby sa zabezpečila ochrana práv dotknutej osoby. V prípade preukázania nepravdivosti vyhlásenia v zmysle tohto bodu je Sprostredkovateľ povinný nahradiť škodu, ktorá vznikla Príjemcovi z dôvodu porušenia a nesplnenia záväzkov obsiahnutých v tomto bode v plnej výške.

6.2     Sprostredkovateľ je povinný poskytnúť Príjemcovi informácie potrebné na preukázanie splnenia povinností podľa bodu 6.1 týchto Pravidiel, prostredníctvom predloženia akéhokoľvek dôveryhodného dôkazu preukazujúceho splnenie týchto povinností podľa Zákona a Nariadenia. Sprostredkovateľ môže preukázať splnenie dostatočných záruk tiež schváleným kódexom správania alebo certifikátom podľa Zákona a Nariadenia.

6.3     Sprostredkovateľ je povinný poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Príjemcu alebo audítora, ktorého poveril Príjemca.

6.4     Sprostredkovateľ je povinný  spracúvať osobné údaje len na základe písomných pokynov Príjemcu, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Sprostredkovateľ je pri takom prenose povinný oznámiť Príjemcovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu. Za písomné pokyny sa považujú tiež ustanovenia týchto Pravidiel a zmluvy podľa bodu 1.2.

6.5     Sprostredkovateľ je povinný spracúvať osobné údaje podľa pokynov Príjemcu. Pokiaľ Sprostredkovateľ určí účel a prostriedky spracúvania osobných údajov, považuje sa za prevádzkovateľa.

6.6     Sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Sprostredkovateľ je povinný zabezpečiť mlčanlivosť, resp. zaviazať mlčanlivosťou o osobných údajoch aj fyzické a právnické osoby (jeho oprávnené osoby a iné ním osoby zmluvne zaviazané), ktoré prídu do styku s osobnými údajmi u Príjemcu, alebo Sprostredkovateľa, ak nie sú viazané mlčanlivosťou podľa osobitného zákona. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.

Sprostredkovateľ je povinný vykonať opatrenia podľa § 39 Zákona, a článku 32 Nariadenia, nasledovne:

a) Sprostredkovateľ je povinný prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä pseudonymizáciu a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov,

b) Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom,

c) Súlad s uvedenými požiadavkami možno preukázať schváleným kódexom správania alebo certifikátom podľa Zákona a Nariadenia,

d) Sprostredkovateľ je povinný zabezpečiť, aby fyzická alebo právnická osoba konajúca za Sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov Príjemcu alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

6.7     Sprostredkovateľ je povinný dodržiavať podmienky zapojenia ďalšieho Sprostredkovateľa, nasledovne:

a) Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho Sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu Príjemcu alebo všeobecného písomného súhlasu Príjemcu. Sprostredkovateľ je povinný vopred informovať Príjemcu o poverení ďalšieho Sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu, pričom Príjemca má právo vzniesť námietku voči pridaniu, alebo náhrade ďalšieho sprostredkovateľa,

b) Ak Sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene Príjemcu ďalšieho Sprostredkovateľa, tomuto ďalšiemu Sprostredkovateľovi v Zmluve alebo prostredníctvom iného právneho úkonu je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov ako sú ustanovené v Zmluve alebo v inom právnom úkone medzi Príjemcom a Sprostredkovateľom, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči Príjemcovi nesie pôvodný Sprostredkovateľ, ak ďalší Sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.

6.8     Sprostredkovateľ je povinný po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť Príjemcovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa Zákona a Nariadenia.

6.9     Sprostredkovateľ je povinný poskytnúť súčinnosť Príjemcovi pri zabezpečovaní plnenia povinností podľa §39 až §43 Zákona a článkov 32 až 36 Nariadenia s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné Sprostredkovateľovi.

6.10   Sprostredkovateľ je povinný zabezpečeným spôsobom vrátiť Príjemcovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov a bezpečne vymazať všetky existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov. Za bezpečný výmaz sa považuje fyzické zničenie nosičov informácií, ich demagnetizácia, alebo bezpečný prepis dát s osobnými údajmi, napríklad použitím bezpečného softvérového nástroja pre vymazanie dát.

6.11   Sprostredkovateľ je povinný bez zbytočného odkladu informovať Príjemcu, ak má za to, že sa pokynom Príjemcu porušuje Zákon, Nariadenie, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.

 

 

VII. Podmienky spracúvania osobných údajov

7.1 Sprostredkovateľ zabezpečuje ochranu osobných údajov dotknutých osôb, najmä ich dôvernosť, integritu a dostupnosť, v súlade so Zákonom, Nariadením a opatreniami v oblasti technickej a organizačnej bezpečnosti.

7.2     Sprostredkovateľ je poverený vykonávať nasledovné spracovateľské operácie:

a) v neautomatizovanej aj automatizovanej podobe, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie,

7.3     Sprostredkovateľ zabezpečí uchovávanie a likvidáciu písomností pre účely podľa bodu 2.1 a uchovávanie, zálohovanie a likvidáciu elektronických dát s osobnými údajmi, pre účely podľa bodu 2.1, tak, aby nedošlo k porušeniu dostupnosti a integrity osobných údajov, podľa Zákona, osobitného zákona, zmluvy podľa bodu 1.2, podľa pokynov Príjemcu a svojich prijatých bezpečnostných opatrení.

7.4     Sprostredkovateľ môže osobné údaje poskytnúť orgánom a inštitúciám, ak to vyžaduje osobitný predpis. Pred takýmto poskytnutím osobných údajov je Sprostredkovateľ povinný Príjemcu o tomto zamýšľanom poskytnutí informovať. Príjemca môže určiť ďalších príjemcov osobných údajoch v jeho pokynoch. V prípade ich zmeny, oznámi tieto zmeny Príjemca bezodkladne Sprostredkovateľovi. V prípade, ak Sprostredkovateľ zamýšľa poskytnúť osobné údaje iným príjemcom ako určil Príjemca, bezodkladne o tejto skutočnosti informuje Príjemcu.

7.5     Sprostredkovateľ nie je oprávnený vykonávať prenos osobných údajov do tretej krajiny, alebo medzinárodnej organizácii za Príjemcu. V prípade, ak by Sprostredkovateľ zamýšľal preniesť osobné údaje do tretej krajiny, alebo medzinárodnej organizácii, vyplývajúcej z jeho prijatých bezpečnostných opatrení, je povinný o tejto požiadavke Príjemcu bezodkladne informovať a zabezpečiť informovanie dotknutých osôb o tejto skutočnosti pred prvým prenosom osobných údajov. Príjemca má právo vzniesť námietku proti prenosu osobných údajov do tretích krajín.

7.6     Sprostredkovateľ sa zaväzuje, že bude Príjemcovi oznamovať všetky porušenia ochrany osobných údajov, ktoré u neho vzniknú a môžu mať dopad na osobné údaje Príjemcu. Tieto skutočnosti je Sprostredkovateľ povinný bezodkladne oznámiť Príjemcovi, najneskôr však v lehote do 3 dní od ich vzniku, alebo zistenia.

7.7     Sprostredkovateľ umožní zodpovednej osobe Príjemcu nezávislý výkon dohľadu nad ochranou osobných údajov, podľa §46 Zákona a článku 39 Nariadenia v medziach spracúvaných osobných údajov dotknutých osôb Príjemcu, ak takáto osoba bola Príjemcom poverená.

 


VIII. Záverečné ustanovenia

 8.1  Zmluvné strany vyhlasujú, že počas platnosti zmluvy podľa bodu 2.1, si obe zmluvné strany budú plniť všetky povinnosti, ktoré im vyplývajú z platných právnych predpisov a týchto Pravidiel.

8.2     Zmluvné strany sú povinné poskytnúť si vždy v primeranej lehote potrebnú súčinnosť za účelom riadneho plnenia týchto Pravidiel, ktorá nebude v rozpore s právnymi predpismi.

8.3     Všetky práva poskytnuté medzi Zmluvnými stranami na základe týchto Pravidiel sú platné aj voči všetkým ich právnym nástupcom.

8.4     Práva a povinnosti Zmluvných strán sa spravujú týmito Pravidlami odo dňa uzavretia zmluvy podľa bodu 2.1 a trvajú počas platnosti a účinnosti uvedenej zmluvy. Tým nie je dotknutá platnosť ustanovení, ktoré svojou povahou majú trvať aj po skončení spracúvania osobných údajov. Povinnosti Sprostredkovateľa podľa týchto pravidiel ale trvajú až do odovzdania osobných údajov Príjemcovi v súlade s bodom 6.10 tejto Zmluvy.

8.5     Tieto Pravidlá sa netýkajú spracovania osobných údajov spracovávaných Sprostredkovateľom na iné účely ako je uvedené v týchto Pravidlách.

8.6     Na zmenu týchto Pravidiel sa analogicky použijú ustanovenia článku 11 a článku 13 ods. 3 Pravidiel DARUJME.sk

8.7     Všetky oznámenia, vyhlásenia, žiadosti, výzvy a iné úkony v súvislosti s týmito Pravidlami a ich plnením, musia byť urobené v písomnej podobe, vrátane elektronickej podoby.

8.8     Právne vzťahy výslovne týmito Pravidlami neupravené sa spravujú, posudzujú a rozhodujú na základe príslušných ustanovení všeobecne záväzných právnych predpisov platných na území Slovenskej republiky, predovšetkým Zákona a Nariadenia, pokiaľ z iných právnych úkonov súvisiacich s týmito Pravidlami výslovne nevyplýva niečo iné.