Zmluva o spracúvaní osobných údajov (DPA)
peppolbox.sk – elektronickapodatelna s.r.o.
Platné od: [DOPLNIŤ DÁTUM] Verzia: 1.0
Úvodné ustanovenia
Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA") je neoddeliteľnou súčasťou Všeobecných obchodných podmienok služby peppolbox.sk a uzaviera sa medzi:
Prevádzkovateľom (Sprostredkovateľom v zmysle GDPR):
elektronickapodatelna s.r.o. Sídlo: Dolná horná 12, Horná Mariková IČO: [DOPLNIŤ] DIČ: 1234567890 Kontakt pre ochranu osobných údajov: dpo@elektronickapodatelna.sk
(ďalej len „Sprostredkovateľ")
a
Zákazníkom (Prevádzkovateľom v zmysle GDPR):
Akýkoľvek zákazník využívajúci službu peppolbox.sk, ktorý akceptoval tieto VOP a túto DPA pri aktivácii svojho účtu.
(ďalej len „Prevádzkovateľ")
(spoločne len „Strany")
1. Definície
V tejto DPA majú nasledujúce pojmy význam stanovený v nariadení GDPR (Nariadenie (EÚ) 2016/679):
- „Osobné údaje" – akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby;
- „Spracúvanie" – akákoľvek operácia s osobnými údajmi;
- „Prevádzkovateľ" (data controller) – Zákazník, ktorý určuje účely a prostriedky spracúvania;
- „Sprostredkovateľ" (data processor) – elektronickapodatelna s.r.o., ktorý spracúva údaje v mene Prevádzkovateľa;
- „Sub-sprostredkovateľ" – tretia strana, ktorú Sprostredkovateľ poveril ďalším spracúvaním;
- „Dotknutá osoba" – fyzická osoba, ktorej osobné údaje sa spracúvajú;
- „Bezpečnostný incident" – porušenie ochrany osobných údajov v zmysle čl. 4 ods. 12 GDPR.
2. Predmet a účel spracúvania
2.1. Sprostredkovateľ spracúva osobné údaje výlučne na účely poskytovania služby peppolbox.sk Prevádzkovateľovi, najmä:
- a) prijímanie elektronických faktúr a iných obchodných dokumentov cez sieť Peppol;
- b) sprístupnenie dokumentov v užívateľskom rozhraní;
- c) zasielanie e-mailových notifikácií;
- d) prevádzkovanie peňaženky a fakturácia služby;
- e) audit a bezpečnosť.
2.2. Sprostredkovateľ je oprávnený spracúvať údaje výlučne v rozsahu a spôsobom potrebným na splnenie zmluvy o poskytovaní Služby.
2.3. Sprostredkovateľ nepoužije spracúvané údaje na vlastné účely, marketing, profilovanie, ani na účely tretích strán.
3. Trvanie spracúvania
3.1. Spracúvanie trvá počas celej doby zmluvného vzťahu medzi Stranami.
3.2. Po ukončení zmluvného vzťahu sa údaje spracúvajú v rozsahu nevyhnutnom pre:
- a) vrátenie zostatku peňaženky a finančné vyrovnanie;
- b) splnenie zákonných povinností (najmä účtovníctvo, daňová evidencia – 10 rokov);
- c) ochranu práv Sprostredkovateľa pri prípadných sporoch.
3.3. Po uplynutí všetkých zákonných lehôt budú údaje vymazané.
4. Kategórie dotknutých osôb a osobných údajov
4.1. Kategórie dotknutých osôb
- a) zamestnanci a oprávnené osoby Prevádzkovateľa pristupujúce k Službe;
- b) kontaktné osoby Prevádzkovateľa uvedené v dokumentoch;
- c) zamestnanci, štatutári a kontaktné osoby tretích strán, ktorých údaje sú obsiahnuté v prijatých faktúrach (najmä dodávatelia Prevádzkovateľa);
- d) klienti Prevádzkovateľa (ak Prevádzkovateľ je účtovná firma alebo iný sprostredkovateľ).
4.2. Kategórie osobných údajov
| Kategória | Typické príklady |
|---|---|
| Identifikačné údaje | Meno a priezvisko |
| Kontaktné údaje | E-mail, telefónne číslo, adresa |
| Identifikátory v Službe | Užívateľské ID, prihlasovacia história, IP adresa |
| Údaje o aktivite | Audit log, stiahnutia dokumentov, prihlásenia |
| Údaje obsiahnuté v dokumentoch | Mená, kontaktné údaje, daňové identifikačné údaje uvedené v elektronických faktúrach |
4.3. Osobitné kategórie údajov
Sprostredkovateľ nespracúva osobitné kategórie údajov v zmysle čl. 9 GDPR (napr. zdravotné údaje, biometria, údaje o presvedčení), pokiaľ takéto údaje Prevádzkovateľ neuloží do Služby z vlastnej iniciatívy. V takom prípade Prevádzkovateľ zodpovedá za zákonnosť ich spracúvania.
5. Povinnosti Sprostredkovateľa
5.1. Sprostredkovateľ sa zaväzuje:
- a) spracúvať osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa, ak osobitný právny predpis nevyžaduje spracúvanie z iného dôvodu (v takom prípade o tom bezodkladne informuje Prevádzkovateľa, ak to právny predpis nezakazuje);
- b) zabezpečiť, aby osoby oprávnené spracúvať osobné údaje boli viazané mlčanlivosťou;
- c) prijať primerané technické a organizačné opatrenia podľa čl. 32 GDPR (viď článok 7);
- d) nezapojiť ďalšieho sprostredkovateľa bez všeobecného alebo osobitného predchádzajúceho súhlasu Prevádzkovateľa (viď článok 6);
- e) pomáhať Prevádzkovateľovi pri vybavovaní žiadostí dotknutých osôb;
- f) pomáhať Prevádzkovateľovi pri zabezpečovaní povinností podľa čl. 32 až 36 GDPR (bezpečnosť, oznamovanie incidentov, posúdenie vplyvu);
- g) vymazať alebo vrátiť všetky osobné údaje po ukončení poskytovania Služby (viď článok 11);
- h) sprístupniť Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností a umožniť audity (viď článok 9).
6. Sub-sprostredkovatelia
6.1. Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecné poverenie zapojiť do spracúvania ďalších sub-sprostredkovateľov uvedených v Prílohe č. 1 k tejto DPA.
6.2. Sprostredkovateľ informuje Prevádzkovateľa o akýchkoľvek zamýšľaných zmenách týkajúcich sa pridania alebo nahradenia sub-sprostredkovateľov najmenej 30 dní vopred prostredníctvom e-mailu alebo aktualizácie tohto dokumentu.
6.3. Prevádzkovateľ má právo proti zmene sub-sprostredkovateľa namietať. V prípade dôvodnej námietky majú Strany povinnosť hľadať riešenie. Ak sa nedohodnú, Prevádzkovateľ je oprávnený ukončiť zmluvný vzťah bez sankcií.
6.4. Sprostredkovateľ je povinný zaviazať každého sub-sprostredkovateľa zmluvne k plneniu rovnakých povinností v oblasti ochrany osobných údajov, aké sú stanovené v tejto DPA.
6.5. Sprostredkovateľ zostáva voči Prevádzkovateľovi plne zodpovedný za plnenie povinností sub-sprostredkovateľa.
7. Bezpečnostné opatrenia
7.1. Sprostredkovateľ zavádza nasledujúce technické a organizačné opatrenia:
7.1.1. Technické opatrenia
- a) šifrovaný prenos údajov (HTTPS/TLS 1.2 alebo vyššie);
- b) šifrované uloženie hesiel a citlivých údajov (bcrypt/argon2);
- c) pseudonymizácia kde to je relevantné;
- d) izolácia údajov jednotlivých zákazníkov na úrovni databázy (Row Level Security);
- e) ochrana pred nelegálnym prístupom (rate limiting, monitoring prihlásení);
- f) pravidelné aktualizácie softvérových komponentov;
- g) zálohovanie databázy s časovou kópiou;
- h) hosting v dátových centrách s certifikáciou ISO 27001 (Frankfurt).
7.1.2. Organizačné opatrenia
- a) viacstupňové oprávnenia s rolovým modelom (super admin, company admin, operator, processor);
- b) auditné záznamy všetkých dôležitých operácií (CEF formát);
- c) povinnosť mlčanlivosti pre všetkých členov tímu;
- d) zásady minimalizácie údajov – spracúvame len to, čo je nevyhnutné;
- e) pravidelné revízie prístupových oprávnení.
7.2. Sprostredkovateľ pravidelne reviduje a aktualizuje bezpečnostné opatrenia v súlade s technickým pokrokom.
8. Bezpečnostné incidenty
8.1. V prípade zistenia bezpečnostného incidentu Sprostredkovateľ:
- a) bez zbytočného odkladu, najneskôr však do 48 hodín od zistenia, informuje Prevádzkovateľa e-mailom;
- b) v oznámení uvedie:
- povahu porušenia,
- kategórie a približný počet dotknutých osôb,
- kategórie a približný počet záznamov,
- predpokladané následky,
- prijaté alebo navrhované opatrenia.
8.2. Sprostredkovateľ poskytne Prevádzkovateľovi všetku súčinnosť pri:
- a) plnení oznamovacej povinnosti voči dozornému orgánu (čl. 33 GDPR);
- b) oznámení porušenia dotknutým osobám (čl. 34 GDPR);
- c) následnom vyšetrovaní a prijatí opatrení.
9. Audit a kontrola
9.1. Sprostredkovateľ poskytne Prevádzkovateľovi na požiadanie všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR a tejto DPA.
9.2. Prevádzkovateľ je oprávnený raz ročne vykonať audit alebo poveriť ním nezávislého audítora. O audite informuje Sprostredkovateľa najmenej 30 dní vopred.
9.3. Audit sa uskutoční v pracovných dňoch a hodinách spôsobom, ktorý nenarúša prevádzku Sprostredkovateľa. Náklady auditu znáša Prevádzkovateľ, okrem prípadu, keď audit preukáže závažné porušenie zo strany Sprostredkovateľa.
9.4. Sprostredkovateľ je oprávnený namiesto vlastného auditu predložiť výsledky nezávislých auditov tretích strán (napr. ISO 27001, SOC 2), ak existujú a sú aktuálne.
10. Pomoc pri uplatňovaní práv dotknutých osôb
10.1. Sprostredkovateľ pomôže Prevádzkovateľovi prostredníctvom vhodných technických a organizačných opatrení splniť povinnosť reagovať na žiadosti o uplatnenie práv dotknutých osôb (čl. 15–22 GDPR).
10.2. Ak Sprostredkovateľ obdrží žiadosť priamo od dotknutej osoby, sám na ňu neodpovie, ale bezodkladne ju postúpi Prevádzkovateľovi.
11. Vymazanie alebo vrátenie údajov
11.1. Po ukončení zmluvného vzťahu Sprostredkovateľ na pokyn Prevádzkovateľa:
- a) vráti všetky osobné údaje Prevádzkovateľovi v strojovo čitateľnom formáte, alebo
- b) vymaže všetky osobné údaje, vrátane existujúcich kópií.
11.2. Prevádzkovateľ má 30 dní od ukončenia zmluvy na voľbu medzi vrátením alebo vymazaním. Ak voľbu nevykoná, údaje budú vymazané.
11.3. Sprostredkovateľ môže ponechať osobné údaje v rozsahu, v akom to vyžaduje právo Únie alebo právo členského štátu (napr. záznamy o platbách pre účely účtovníctva – 10 rokov).
12. Prenosy do tretích krajín
12.1. Niektorí sub-sprostredkovatelia (uvedení v Prílohe č. 1) sú so sídlom v USA. Pre tieto prenosy sa uplatňujú štandardné zmluvné doložky (SCC) schválené Európskou komisiou rozhodnutím 2021/914.
12.2. Sprostredkovateľ vyhlasuje, že má so všetkými sub-sprostredkovateľmi mimo EÚ uzatvorené príslušné SCC.
13. Zodpovednosť
13.1. Každá Strana zodpovedá za škody spôsobené porušením povinností vyplývajúcich z tejto DPA podľa GDPR a platných právnych predpisov.
13.2. Maximálna zodpovednosť Sprostredkovateľa voči Prevádzkovateľovi za škody vzniknuté v súvislosti s touto DPA je obmedzená na 100,00 EUR, v súlade s čl. 8.2 VOP. Toto obmedzenie sa neuplatní v prípadoch, kedy GDPR alebo iný kogentný predpis vyžaduje neobmedzenú zodpovednosť.
14. Trvanie a ukončenie DPA
14.1. Táto DPA nadobúda účinnosť dňom akceptácie VOP zo strany Prevádzkovateľa.
14.2. DPA zostáva v platnosti počas celého trvania zmluvného vzťahu medzi Stranami a aj po ňom v rozsahu, v akom Sprostredkovateľ uchováva osobné údaje Prevádzkovateľa.
15. Záverečné ustanovenia
15.1. V prípade rozporu medzi VOP a touto DPA má prednosť táto DPA v otázkach týkajúcich sa spracúvania osobných údajov.
15.2. Táto DPA sa riadi právnym poriadkom Slovenskej republiky.
15.3. Aktuálna verzia tejto DPA je vždy dostupná na: https://www.epodatelna24.sk/legal/dpa
Príloha č. 1 – Zoznam sub-sprostredkovateľov
| Sub-sprostredkovateľ | Adresa / krajina | Účel spracúvania | Lokalita spracúvania | Záruka prenosu |
|---|---|---|---|---|
| Supabase Inc. | 970 Toa Payoh North #07-04, Singapore (ale s europským deploymentom) | Databáza, autentifikácia, úložisko súborov | EÚ – Frankfurt | EÚ |
| Vercel Inc. | 440 N Barranca Avenue #4133, Covina, CA 91723, USA | Hosting webovej aplikácie, Vercel Analytics | EÚ – Frankfurt | EÚ |
| Resend, Inc. | 2261 Market Street #5039, San Francisco, CA 94114, USA | Odosielanie transakčných e-mailov | USA | SCC (rozhodnutie EK 2021/914) |
| Twilio Inc. | 101 Spear Street, 5. poschodie, San Francisco, CA 94105, USA | Odosielanie SMS s overovacími kódmi | USA | SCC (rozhodnutie EK 2021/914) |
| ion-AP (Peppol Access Point) | EÚ | Prenos elektronických faktúr cez sieť Peppol | EÚ | EÚ |
Zoznam je platný od: [DOPLNIŤ DÁTUM]
Poznámka: Systém NOP (Notifikátor okamžitých platieb) prevádzkovaný Finančnou správou SR nie je sub-sprostredkovateľom v zmysle GDPR. Ide o štátny platobný systém, s ktorým Sprostredkovateľ komunikuje výlučne pre účely generovania QR platieb a potvrdzovania prijatia platieb.
elektronickapodatelna s.r.o. DPA verzia 1.0 Účinnosť od: [DOPLNIŤ DÁTUM]