Zmluva o spracúvaní osobných údajov (DPA)

Tento dokument tvorí prílohu k hlavnej zmluve o poskytovaní služieb portálu Redimo UKS uzavretej medzi Stranami.

Akceptáciou tejto DPA pri onboardingu organizácie Strany potvrdzujú, že údaje pri ďalších interakciách s portálom Redimo UKS sa budú spracúvať za podmienok dohodnutých nižšie.

Záznam o akceptácii (čas, IP adresa, identifikátor používateľa, verzia DPA, verzia Privacy Policy) ukladá Sprostredkovateľ do auditovateľnej tabuľky audit_event a uchováva 5 rokov.

Prevádzkovateľ: organizácia identifikovaná pri onboardingu (názov, IČO, sídlo, štatutár), ktorá rozhoduje o účeloch a prostriedkoch spracúvania osobných údajov svojich členov, vlastníkov a zamestnancov v rozsahu, v akom ich vkladá do platformy Redimo UKS.

Sprostredkovateľ: Redimo, s. r. o., so sídlom [doplniť po registrácii], IČO: XX XXX XXX, zapísaná v Obchodnom registri Okresného súdu [doplniť], oddiel: Sro, vložka číslo [doplniť], štatutár [doplniť], DPO: dpo@redimo.sk.

Strany sa dohodli na tomto pomere v zmysle čl. 28 GDPR a § 34 zákona č. 18/2018 Z. z.

Predmetom spracúvania je technická prevádzka portálu Redimo UKS, ktorá Prevádzkovateľovi umožňuje viesť agendu členstva, dokumentov, hlasovaní, financií, odpočtov meračov a komunikácie s členmi v elektronickej forme.

Sprostredkovateľ spracúva osobné údaje výhradne v súlade s pokynmi Prevádzkovateľa zaznamenanými v konfigurácii agentúr v platforme alebo v písomnej (vrátane elektronickej) forme.

DPA nadobúda účinnosť momentom akceptácie pri onboardingu a trvá počas trvania hlavnej zmluvy o poskytovaní služieb.

Po skončení hlavnej zmluvy budú údaje spracúvané už len v rozsahu nevyhnutnom na vrátenie alebo zničenie údajov a splnenie zákonných archivačných povinností Sprostredkovateľa.

Povaha: zber, štruktúrované uloženie, vyhľadávanie, sprístupňovanie autorizovaným osobám, šifrovaný prenos, zálohovanie, anonymizácia a výmaz osobných údajov v elektronickej forme.

Účel: zabezpečiť Prevádzkovateľovi spoľahlivú elektronickú evidenciu agendy, dôkazne uchovávať uznesenia a hlasovania a podporovať plnenie zákonných povinností Prevádzkovateľa (najmä podľa zákonov 182/1993, 431/2002, 222/2004, 657/2004, 250/2012 Z. z.).

Identifikačné údaje (meno, priezvisko, dátum narodenia, rodné číslo iba ak ho vyžaduje zákon a v šifrovanej podobe), kontaktné údaje (e-mail, telefón, korešpondenčná adresa), údaje o byte/podiele/podielnictve, údaje o platbách a pohľadávkach, údaje o hlasovaní a účasti, odpočty meračov, prílohy nahraté Prevádzkovateľom (zápisnice, faktúry).

Sprostredkovateľ aktívne minimalizuje rozsah spracúvaných údajov a nezbiera údaje, ktoré nie sú potrebné na účely uvedené v sekcii 4.

Členovia spoločenstva / klubu / združenia (vlastníci bytov, podielnici, registrovaní členovia).

Štatutárni zástupcovia, predseda, hospodár, kontrolór a iné funkcionárske role v rozsahu vyplývajúcom z vnútorných predpisov Prevádzkovateľa.

Zamestnanci Prevádzkovateľa, externí správcovia a poverení dodávatelia v rozsahu, v akom sú zaznamenávaní ako protistrany finančných operácií.

(a) Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa, vrátane prenosov osobných údajov do tretej krajiny (žiadne plánované prenosy mimo EHP).

(b) Sprostredkovateľ zabezpečuje, aby osoby oprávnené spracúvať osobné údaje boli zaviazané mlčanlivosťou alebo aby pre ne platila zákonná povinnosť mlčanlivosti.

(c) Sprostredkovateľ prijíma všetky bezpečnostné opatrenia podľa čl. 32 GDPR (pozri sekciu 8).

(d) Sprostredkovateľ rešpektuje podmienky pre zapojenie ďalších sprostredkovateľov podľa sekcie 9.

(e) Sprostredkovateľ s ohľadom na povahu spracúvania pomáha Prevádzkovateľovi zabezpečiť plnenie povinností týkajúcich sa práv dotknutých osôb (sekcia 10).

(f) Sprostredkovateľ pomáha Prevádzkovateľovi zabezpečiť plnenie povinností podľa čl. 32 — 36 GDPR (bezpečnosť, posúdenie vplyvu — DPIA, predchádzajúca konzultácia).

(g) Po skončení poskytovania služieb Sprostredkovateľ podľa rozhodnutia Prevádzkovateľa všetky osobné údaje vymaže alebo vráti a vymaže existujúce kópie (sekcia 13).

(h) Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností a umožní audit (sekcia 11).

Šifrovanie pri prenose: všetky komunikačné kanály medzi klientom a portálom sú chránené TLS 1.3 s perfect forward secrecy.

Šifrovanie v pokoji: databáza a súborové úložisko sú šifrované AES-256 (Websupport managed encryption + Cloudflare R2/GCP envelope encryption pre zálohy).

Riadenie prístupov: rolami riadený prístup (RBAC) integrovaný s Keycloak OIDC, princíp najmenších privilégií, povinné dvojfaktorové overenie pre administrátorské kontá.

Audit logy: zaznamenávanie kritických operácií do tabuľky audit_event (5 rokov), nemenné append-only záznamy, integritná pečať každého záznamu.

Kontinuita: denné off-site zálohy do Google Cloud Storage (europe-west3), kvartálne obnovovacie skúšky, definované RTO/RPO ciele.

Bezpečnosť kódu: pravidelný SAST/DAST, kontrolovaný release proces, vulnerability disclosure podľa /.well-known/security.txt.

Fyzická bezpečnosť: dátové centrá certifikované ISO 27001 / SOC 2 Type II prevádzkované Websupport, Cloudflare a Google Cloud.

Prevádzkovateľ udeľuje všeobecný písomný súhlas Sprostredkovateľovi so zapojením ďalších sprostredkovateľov uvedených v aktuálne platnom registri /legal/subprocessors.

Sprostredkovateľ informuje Prevádzkovateľa o pláne pridať alebo nahradiť ďalšieho sprostredkovateľa najmenej 30 dní vopred prostredníctvom RSS feedu /legal/subprocessors.xml a/alebo e-mailovou notifikáciou na kontaktnú e-mailovú adresu organizácie.

Prevádzkovateľ má v lehote 30 dní právo voči zmene namietnuť. Ak Strany nedosiahnu dohodu, môže Prevádzkovateľ ukončiť hlavnú zmluvu bez sankcie.

Sprostredkovateľ uloží každému ďalšiemu sprostredkovateľovi rovnaké povinnosti ochrany údajov ako sú stanovené v tejto DPA, najmä formou písomnej zmluvy.

Sprostredkovateľ poskytuje Prevádzkovateľovi technické a organizačné nástroje na vybavovanie žiadostí podľa čl. 15 — 22 GDPR — najmä DSAR rozhranie /account/privacy a serverové endpointy /api/v1/privacy/dsar-requests.

Ak žiadosť dotknutej osoby smeruje priamo na Sprostredkovateľa, ten ju bezodkladne (do 5 pracovných dní) postúpi Prevádzkovateľovi a poskytne potrebnú súčinnosť.

Vybavenie samotnej žiadosti je v zodpovednosti Prevádzkovateľa, ktorý určuje rozsah údajov, právne základy a komunikuje s dotknutou osobou.

Sprostredkovateľ raz ročne sprístupní Prevádzkovateľovi výsledky externého audítu (ISO 27001 alebo SOC 2 Type II) a aktuálnu verziu Bezpečnostnej politiky.

Prevádzkovateľ má právo na vlastné náklady vykonať audit alebo si ho objednať u nezávislého audítora — minimálne 30 dní vopred, v pracovnom čase a takým spôsobom, aby neboli ohrozené záujmy iných zákazníkov Sprostredkovateľa.

V prípade vážneho podozrenia z porušenia povinností Sprostredkovateľa je možné audit vykonať aj v skrátenej lehote po dohode.

Sprostredkovateľ oznámi Prevádzkovateľovi každé porušenie ochrany osobných údajov bez zbytočného odkladu, najneskôr do 24 hodín od jeho zistenia, aby Prevádzkovateľ mohol splniť svoju oznamovaciu povinnosť voči ÚOOÚ v lehote 72 hodín (čl. 33 ods. 1 GDPR).

Oznámenie obsahuje: opis povahy porušenia, kategórie a približný počet dotknutých osôb a záznamov, kontakt na DPO, opis pravdepodobných následkov a opis prijatých alebo navrhovaných opatrení.

Sprostredkovateľ vedie register porušení a poskytne Prevádzkovateľovi súčinnosť pri prípadnom oznámení dotknutým osobám podľa čl. 34 GDPR.

Po skončení poskytovania služieb (alebo v inom prípade ukončenia DPA) Sprostredkovateľ na základe pokynu Prevádzkovateľa: (a) vráti všetky osobné údaje vo štruktúrovanom, bežne používanom strojovo čitateľnom formáte (JSON/CSV) do 30 dní; alebo (b) bezpečne vymaže všetky osobné údaje vrátane zálohových kópií do 90 dní.

Sprostredkovateľ poskytne Prevádzkovateľovi písomné potvrdenie o vykonaní výmazu vrátane zoznamu zničených úložísk, časových pečiatok a metódy zničenia.

Tým nie sú dotknuté povinnosti Sprostredkovateľa uchovávať údaje na základe zákonných archivačných povinností (napr. účtovné doklady) — tieto sa uchovávajú v izolovanej forme a po uplynutí lehoty sa bezpečne ničia.

Strany zodpovedajú za porušenia povinností podľa GDPR a zákona č. 18/2018 Z. z. v rozsahu, v akom prispeli k porušeniu (čl. 82 GDPR).

Maximálna kumulatívna zodpovednosť Sprostredkovateľa voči Prevádzkovateľovi z DPA a hlavnej zmluvy je obmedzená na výšku ročných odmien zaplatených Sprostredkovateľovi za bezprostredne predchádzajúcich 12 mesiacov, okrem prípadov hrubej nedbanlivosti, úmyselného porušenia alebo ujmy spôsobenej dotknutým osobám.

Sankcie zo strany dozorného orgánu (ÚOOÚ) hradí každá Strana v rozsahu, v akom porušenie zavinila.

Tento DPA sa riadi právnym poriadkom Slovenskej republiky, najmä Nariadením (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.

Dozorným orgánom je Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, https://dataprotection.gov.sk/.

Spory vyplývajúce z DPA budú riešené pred vecne a miestne príslušným súdom v Slovenskej republike.