Zmluva o spracúvaní osobných údajov

1.1Táto Zmluva o spracúvaní osobných údajov (ďalej len „DPA“) upravuje spracúvanie osobných údajov pri poskytovaní služieb Accquix, ak Poskytovateľ spracúva osobné údaje v mene Objednávateľa.

1.2Objednávateľ vystupuje ako prevádzkovateľ osobných údajov, ak určuje účel a prostriedky spracúvania osobných údajov obsiahnutých v jeho účtovných, obchodných alebo daňových podkladoch.

1.3Poskytovateľ vystupuje ako sprostredkovateľ v rozsahu, v akom spracúva osobné údaje v mene Objednávateľa na účely poskytnutia služby.

1.4Pri spracúvaní osobných údajov na účely vlastnej fakturácie, vedenia vlastnej účtovnej evidencie, AML/KYC, ochrany právnych nárokov, bezpečnosti a plnenia vlastných zákonných povinností vystupuje Poskytovateľ ako samostatný prevádzkovateľ.

2.1Predmetom spracúvania je spracúvanie osobných údajov potrebných na poskytovanie účtovných, administratívnych, konzultačných, jednorazových a súvisiacich služieb Accquix.

2.2Účelom spracúvania je najmä vedenie účtovníctva alebo evidencie, spracovanie účtovných dokladov, príprava daňových a účtovných výstupov, elektronická komunikácia s orgánmi verejnej správy, kontrola alebo systematizácia evidencie, poskytovanie konzultačných výstupov, archivácia a komunikácia medzi stranami.

2.3Spracúvanie môže prebiehať automatizovanými aj neautomatizovanými prostriedkami, najmä v účtovnom softvéri, cloudovom úložisku, e-mailovej komunikácii, tabuľkách, exportoch a súvisiacich digitálnych nástrojoch.

3.1Osobné údaje sa spracúvajú počas trvania zmluvného vzťahu a následne počas doby potrebnej na splnenie zákonných, účtovných, daňových, AML, archivačných alebo právnych povinností.

3.2Ak ďalšie uchovávanie nie je potrebné ani oprávnené, Poskytovateľ osobné údaje vymaže alebo vráti Objednávateľovi podľa povahy údajov, technických možností a podmienok tejto DPA.

4.1Spracúvané môžu byť najmä tieto kategórie údajov: meno a priezvisko, obchodné meno, adresa, IČO, DIČ, IČ DPH, kontaktné údaje, bankové údaje, fakturačné údaje, údaje o platbách, údaje uvedené na účtovných dokladoch, údaje zákazníkov a dodávateľov Objednávateľa, údaje o transakciách a údaje potrebné na identifikáciu alebo AML/KYC overenie.

4.2Pri službách, ktoré nezahŕňajú mzdy alebo personalistiku, Poskytovateľ štandardne nespracúva rozsiahle osobitné kategórie osobných údajov zamestnancov. Ak má byť taká agenda poskytovaná, musí byť osobitne dohodnutá.

5.1Dotknutými osobami môžu byť najmä Objednávateľ, jeho zákazníci, dodávatelia, kontaktné osoby obchodných partnerov, zástupcovia, pracovníci, osoby uvedené na faktúrach, výpisoch, zmluvách alebo iných podkladoch.

6.1Poskytovateľ spracúva osobné údaje iba na základe tejto DPA, individuálnej zmluvy, VOP, dokumentovaných pokynov Objednávateľa alebo požiadaviek právnych predpisov.

6.2Ak má Poskytovateľ za to, že pokyn Objednávateľa porušuje GDPR alebo iné právne predpisy, upozorní na to Objednávateľa, ak mu v tom nebráni právna povinnosť.

7.1Poskytovateľ sa zaväzuje spracúvať osobné údaje len v rozsahu potrebnom na poskytnutie služby, zachovávať mlčanlivosť, prijať primerané technické a organizačné opatrenia, zabezpečiť poučenie osôb s prístupom k údajom, pomáhať Objednávateľovi pri plnení primeraných povinností podľa GDPR a poskytovať primerané informácie potrebné na preukázanie súladu s touto DPA.

7.2Poskytovateľ nie je povinný vykonávať právnu alebo compliance agendu Objednávateľa voči jeho zákazníkom, zamestnancom alebo iným dotknutým osobám, ak to nie je osobitne dohodnuté.

7.3Ak Poskytovateľ obdrží žiadosť od dotknutej osoby o uplatnenie jej práv podľa GDPR, ktorá sa týka osobných údajov spracúvaných v mene Objednávateľa, nebude na túto žiadosť priamo odpovedať. Namiesto toho bez zbytočného odkladu postúpi túto žiadosť Objednávateľovi, ktorý je zodpovedný za jej vybavenie.

7.4Ak je Poskytovateľ povinný sprístupniť osobné údaje na základe záväznej žiadosti orgánu verejnej moci, bude o tejto žiadosti bezodkladne informovať Objednávateľa ešte pred sprístupnením údajov, pokiaľ mu v tom nebráni príslušný právny predpis, napríklad súdny príkaz zakazujúci informovanie.

8.1Objednávateľ zodpovedá za zákonnosť spracúvania osobných údajov, určenie právneho základu, informovanie dotknutých osôb, správnosť a úplnosť údajov, plnenie práv dotknutých osôb a za to, že osobné údaje odovzdané Poskytovateľovi boli získané zákonným spôsobom.

8.2Objednávateľ nesmie Poskytovateľovi odovzdávať osobné údaje, ktoré nie sú potrebné na poskytnutie služby alebo ktoré nemá právo spracúvať.

9.1Objednávateľ udeľuje Poskytovateľovi všeobecné povolenie zapojiť ďalších sprostredkovateľov a technologických poskytovateľov potrebných na poskytovanie služby.

9.2Zoznam hlavných sprostredkovateľov a technologických poskytovateľov je zverejnený na stránke /legal/subprocessors alebo sprístupnený Objednávateľovi na požiadanie.

9.3Poskytovateľ je oprávnený zoznam aktualizovať, ak zmena neznižuje primeranú úroveň ochrany osobných údajov. Pri podstatnej zmene pri opakovanej službe môže Poskytovateľ Objednávateľa informovať e-mailom alebo zverejnením aktualizovaného zoznamu.

9.4Objednávateľ je oprávnený vzniesť odôvodnenú námietku voči zapojeniu nového alebo nahradeniu existujúceho ďalšieho sprostredkovateľa do 14 dní od oznámenia zmeny. Ak Objednávateľ vznesie oprávnenú námietku a strany sa nedohodnú na riešení, ktoré by rozptýlilo obavy Objednávateľa, môže to byť považované za dôvod na ukončenie zmluvného vzťahu zo strany Objednávateľa v súlade s podmienkami dohodnutými v individuálnej zmluve alebo VOP.

10.1Poskytovateľ prijíma primerané technické a organizačné opatrenia, najmä riadenie prístupov, používanie zabezpečených účtov a cloudových služieb, primerané heslá, obmedzenie prístupu na osoby, ktoré ho potrebujú, zálohovanie primerané povahe služby, ochranu zariadení a prenos údajov zabezpečenými kanálmi tam, kde je to primerané.

10.2Úroveň bezpečnostných opatrení zodpovedá povahe spracúvania, rozsahu údajov, riziku pre dotknuté osoby a veľkosti poskytovanej služby.

11.1Ak sa Poskytovateľ dozvie o porušení ochrany osobných údajov, ktoré sa týka údajov spracúvaných v mene Objednávateľa, bez zbytočného odkladu informuje Objednávateľa a poskytne mu informácie dostupné v čase oznámenia.

11.2Objednávateľ zodpovedá za posúdenie, či je potrebné oznámenie dozornému orgánu alebo dotknutým osobám, ak nie je zákonom určené inak.

12.1Pri používaní niektorých cloudových, analytických, komunikačných, platobných alebo overovacích nástrojov môže dôjsť k prenosu alebo prístupu k osobným údajom mimo Európskej únie alebo Európskeho hospodárskeho priestoru.

12.2Poskytovateľ zabezpečí, aby sa takýto prenos uskutočnil v súlade s GDPR, najmä na základe rozhodnutia o primeranosti, štandardných zmluvných doložiek, Data Privacy Framework alebo iných primeraných záruk používaných príslušným poskytovateľom.

13.1Poskytovateľ poskytne Objednávateľovi primeranú súčinnosť potrebnú na preukázanie splnenia povinností podľa tejto DPA. Súčinnosť musí byť primeraná veľkosti služby, povahe spracúvania a kapacitám Poskytovateľa.

13.2Ak Objednávateľ požaduje rozsiahlu auditnú alebo bezpečnostnú súčinnosť nad rámec bežnej komunikácie, môže byť táto súčinnosť spoplatnená podľa individuálnej dohody.

14.1Po skončení poskytovania služby, ktoré vedie k ukončeniu spracúvania, Poskytovateľ štandardne bezpečne vymaže všetky osobné údaje spracúvané v mene Objednávateľa, s výnimkou údajov, ktorých ďalšie uchovávanie vyžadujú účtovné, daňové, AML alebo iné právne predpisy.

14.2Ak Objednávateľ pred ukončením zmluvného vzťahu písomne požiada o vrátenie osobných údajov namiesto ich vymazania, Poskytovateľ poskytne primeranú súčinnosť. Vrátenie údajov vo forme špecifického exportu alebo v inom neštandardnom formáte sa považuje za nadštandardnú platenú službu, ktorej cena bude dohodnutá individuálne.

15.1Táto DPA tvorí súčasť zmluvného vzťahu medzi Poskytovateľom a Objednávateľom, ak je na ňu odkázané v individuálnej zmluve, objednávke alebo VOP.

15.2V otázkach ochrany osobných údajov má táto DPA prednosť pred VOP, ak je medzi dokumentmi rozpor.