ZMLUVA O SPRACÚVANÍ OSOBNÝCH ÚDAJOV
(Data Processing Agreement, DPA podľa čl. 28 GDPR)
Preambula
Táto Zmluva o spracúvaní osobných údajov (ďalej len "Zmluva" alebo "DPA") upravuje práva a povinnosti zmluvných strán pri spracúvaní osobných údajov, ktoré sprostredkovateľ spracúva v mene prevádzkovateľa v súvislosti s poskytovaním služby cloudovej aplikácie na automatizáciu žiadostí o úver zo Štátneho fondu rozvoja bývania (ďalej len "Služba" alebo "Aplikácia").
Táto Zmluva sa uzatvára podľa článku 28 ods. 3 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len "GDPR") a podľa § 34 zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len "zákon č. 18/2018").
Táto Zmluva tvorí neoddeliteľnú súčasť všeobecných obchodných podmienok Služby (ďalej len "VOP") a hlavnej zmluvy o poskytovaní Služby uzavretej medzi zmluvnými stranami (ďalej len "Hlavná zmluva"). Zákazník akceptuje túto Zmluvu pri registrácii do Aplikácie elektronicky (akceptáciou pri vytvorení účtu, tzv. click-wrap), čím je splnená požiadavka písomnej formy podľa čl. 28 ods. 9 GDPR a požiadavka uzavretia Zmluvy najneskôr v deň začatia spracúvania.
Článok 1 - Zmluvné strany
1.1 Sprostredkovateľ
Obchodné meno: VisionEdge, s. r. o. Sídlo: 29. augusta 1503/1A, 958 01 Partizánske IČO: 51 962 161 DIČ: 2120848521 Zápis v obchodnom registri: Obchodný register Okresného súdu Trenčín, oddiel Sro, vložka č. 37109/R Kontaktný e-mail: info@visionedge.sk Kontaktný bod pre ochranu osobných údajov: info@visionedge.sk Web: sfrb.visionedge.sk
(ďalej len "Sprostredkovateľ")
Poznámka: VisionEdge, s. r. o. nie je platiteľom DPH. Táto informácia sa týka fakturácie podľa Hlavnej zmluvy a nemá vplyv na povinnosti podľa tejto Zmluvy.
1.2 Prevádzkovateľ
Prevádzkovateľom je Zákazník, ktorého identifikačné údaje sú určené údajmi, ktoré Zákazník zadáva v aplikácii pri vytvorení profilu správcu, a údajmi z jeho Účtu, najmä:
- obchodné meno / názov, IČO, prípadne DIČ a sídlo Zákazníka,
- údaj o zápise v príslušnom registri a štatutárny orgán (osoba konajúca za Zákazníka),
- kontaktný e-mail uvedený v Účte Zákazníka.
Vyplnenie identifikačných údajov profilu správcu je v aplikácii povinným krokom pred jej používaním. Akceptáciou tejto Zmluvy Zákazník potvrdzuje správnosť a úplnosť týchto údajov.
Prevádzkovateľom je výlučne právnická osoba podnikateľského alebo neziskového charakteru, a to správca bytových domov, spoločenstvo vlastníkov bytov a nebytových priestorov (SVB) alebo bytové družstvo (ďalej len "Prevádzkovateľ" alebo "Zákazník").
1.3 Spoločné označenie
Sprostredkovateľ a Prevádzkovateľ sa ďalej spoločne označujú ako "zmluvné strany" a jednotlivo ako "zmluvná strana".
Článok 2 - Vysvetlenie rolí a vymedzenie pojmov
2.1 Pri poskytovaní Služby vystupuje VisionEdge, s. r. o. v dvoch rozdielnych právnych postaveniach, ktoré je potrebné jednoznačne odlíšiť:
a) VisionEdge, s. r. o. ako PREVÁDZKOVATEĽ vo vzťahu k osobným údajom používateľov účtu Zákazníka (meno a pracovný e-mail spravované cez autentifikačnú službu Clerk), kontaktných osôb Zákazníka, štatutárov Zákazníka a fakturačným údajom organizácie (spracúvaným cez platobnú službu Stripe). Tieto údaje spracúva VisionEdge, s. r. o. vo vlastnom mene a na vlastné účely (poskytovanie Služby, správa zmluvného vzťahu, fakturácia). Informačná povinnosť k týmto údajom je upravená v Prílohe D (Zásady ochrany osobných údajov) tejto Zmluvy.
b) VisionEdge, s. r. o. ako SPROSTREDKOVATEĽ (processor) vo vzťahu k osobným údajom vlastníkov bytov a nebytových priestorov a ďalším údajom týkajúcim sa bytového domu, ktoré do Aplikácie nahráva Zákazník (najmä import z listu vlastníctva). Pre tieto údaje je PREVÁDZKOVATEĽOM Zákazník (správca, SVB alebo bytové družstvo), nie VisionEdge, s. r. o. Tieto údaje spracúva VisionEdge, s. r. o. výlučne v mene a na základe pokynov Zákazníka. Práve túto rolu upravuje táto Zmluva (DPA).
2.2 Pre zrozumiteľnosť: za osobné údaje vlastníkov bytov nesiete zodpovednosť ako prevádzkovateľ Vy, Zákazník. VisionEdge, s. r. o. Vám k týmto údajom poskytuje len technické spracúvanie ako sprostredkovateľ a poskytuje Vám túto Zmluvu (DPA), aby ste si splnili svoju zákonnú povinnosť podľa čl. 28 GDPR mať so sprostredkovateľom uzavretú písomnú zmluvu.
2.3 Pojmy "osobné údaje", "spracúvanie", "prevádzkovateľ", "sprostredkovateľ", "dotknutá osoba", "porušenie ochrany osobných údajov" a ďalšie použité v tejto Zmluve majú význam podľa čl. 4 GDPR.
Článok 3 - Predmet, povaha, účel a doba spracúvania
3.1 Predmet spracúvania Predmetom spracúvania je spracúvanie osobných údajov vlastníkov bytov a nebytových priestorov a súvisiacich údajov bytového domu, ktoré Zákazník nahráva do Aplikácie, v rozsahu nevyhnutnom na poskytovanie Služby (automatizovaná príprava a generovanie žiadosti o úver zo Štátneho fondu rozvoja bývania a jej príloh).
3.2 Povaha spracúvania Povahou spracúvania je automatizované spracúvanie osobných údajov výpočtovou technikou, najmä uloženie údajov v databáze, ich spracovanie do podoby žiadosti a príloh a generovanie výstupných dokumentov na vyžiadanie. Spracúvanie zahŕňa operácie ako uchovávanie, usporiadanie, vyhľadávanie, používanie, zmenu a vymazanie údajov.
3.3 Účel spracúvania Účelom spracúvania je poskytovanie Služby Zákazníkovi, t. j. spracovanie údajov vlastníkov bytov potrebných pre prípravu, vyplnenie a vygenerovanie žiadosti o úver zo Štátneho fondu rozvoja bývania na obnovu bytového domu a jej zákonných príloh, výlučne v rozsahu a na účely určené Zákazníkom ako prevádzkovateľom.
3.4 Doba spracúvania Sprostredkovateľ spracúva osobné údaje počas trvania Hlavnej zmluvy (počas trvania predplatného Služby), a to dovtedy, kým o ukladaní a spracúvaní rozhoduje Zákazník ako prevádzkovateľ. Po ukončení poskytovania Služby sa postupuje podľa článku 11 tejto Zmluvy (vymazanie alebo vrátenie údajov).
3.5 Typ osobných údajov a kategórie dotknutých osôb Typy spracúvaných osobných údajov a kategórie dotknutých osôb sú podrobne špecifikované v Prílohe A tejto Zmluvy. Aplikácia zámerne nespracúva dátum narodenia ani rodné číslo vlastníkov bytov (zásada minimalizácie údajov podľa čl. 5 ods. 1 písm. c) GDPR).
Článok 4 - Spracúvanie na základe pokynov prevádzkovateľa (čl. 28 ods. 3 písm. a) GDPR)
4.1 Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa, a to aj pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii, okrem prípadu, keď mu spracúvanie ukladá právo Európskej únie alebo právo Slovenskej republiky. V takom prípade Sprostredkovateľ informuje Prevádzkovateľa o tejto právnej požiadavke pred spracúvaním, ak dané právo takéto informovanie nezakazuje zo závažných dôvodov verejného záujmu.
4.2 Za zdokumentované pokyny Prevádzkovateľa sa považuje táto Zmluva, Hlavná zmluva, VOP, dokumentácia a štandardné nastavenia Aplikácie, ako aj úkony, ktoré Prevádzkovateľ vykonáva prostredníctvom funkcionalít Aplikácie (najmä nahranie údajov, generovanie a stiahnutie dokumentov, vymazanie údajov). Ďalšie pokyny môže Prevádzkovateľ zaslať písomne na kontaktný bod uvedený v bode 1.1.
4.3 Sprostredkovateľ bezodkladne informuje Prevádzkovateľa, ak má podľa jeho názoru pokyn za následok porušenie GDPR, zákona č. 18/2018 alebo iných predpisov Únie alebo Slovenskej republiky o ochrane údajov.
Článok 5 - Mlčanlivosť (čl. 28 ods. 3 písm. b) GDPR)
5.1 Sprostredkovateľ zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, alebo aby boli viazané primeranou zákonnou povinnosťou mlčanlivosti.
5.2 Povinnosť mlčanlivosti trvá aj po skončení pracovnoprávneho, obchodného alebo iného vzťahu týchto osôb so Sprostredkovateľom.
Článok 6 - Bezpečnosť spracúvania (čl. 28 ods. 3 písm. c) a čl. 32 GDPR)
6.1 Sprostredkovateľ prijal a udržiava primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej riziku v zmysle čl. 32 GDPR, a to s prihliadnutím na najnovšie poznatky, náklady na vykonanie opatrení, povahu, rozsah, kontext a účely spracúvania, ako aj na riziká pre práva a slobody fyzických osôb.
6.2 Opis technických a organizačných bezpečnostných opatrení je uvedený v Prílohe B tejto Zmluvy.
6.3 Sprostredkovateľ je oprávnený meniť a aktualizovať bezpečnostné opatrenia za predpokladu, že úroveň ochrany sa nezníži pod úroveň požadovanú čl. 32 GDPR.
Článok 7 - Zapojenie ďalšieho sprostredkovateľa (sub-processora) (čl. 28 ods. 2, ods. 3 písm. d) a ods. 4 GDPR)
7.1 Všeobecné písomné povolenie Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecné písomné povolenie na zapojenie ďalších sprostredkovateľov (sub-processorov) na spracúvanie osobných údajov v rozsahu potrebnom na poskytovanie Služby. Aktuálny zoznam schválených sub-processorov je uvedený v Prílohe C tejto Zmluvy.
7.2 Oznámenie zmien a právo namietať Sprostredkovateľ informuje Prevádzkovateľa o akejkoľvek zamýšľanej zmene týkajúcej sa pridania alebo nahradenia sub-processorov, a to bez zbytočného odkladu, najneskôr 30 dní pred plánovaným zapojením nového sub-processora. Prevádzkovateľ má právo voči takejto zmene namietať z dôvodov týkajúcich sa ochrany osobných údajov, a to písomne v lehote 30 dní od oznámenia. Ak Prevádzkovateľ uplatní odôvodnenú námietku, zmluvné strany sa pokúsia nájsť riešenie. Ak riešenie nie je možné, je Prevádzkovateľ oprávnený ukončiť používanie Služby; ustanovenia Hlavnej zmluvy o platobných podmienkach (vrátane politiky bez vrátenia po aktivácii) tým nie sú dotknuté.
7.3 Flow-down (rovnaké povinnosti) Sprostredkovateľ zmluvne uloží každému sub-processorovi rovnaké povinnosti ochrany údajov, aké sú uvedené v tejto Zmluve, najmä povinnosť poskytnúť dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie spĺňalo požiadavky GDPR.
7.4 Zodpovednosť Ak sub-processor nesplní svoje povinnosti ochrany údajov, Sprostredkovateľ zostáva voči Prevádzkovateľovi plne zodpovedný za plnenie povinností tohto sub-processora.
Článok 8 - Pomoc pri vybavovaní žiadostí dotknutých osôb (čl. 28 ods. 3 písm. e) GDPR)
8.1 Sprostredkovateľ s prihliadnutím na povahu spracúvania poskytne Prevádzkovateľovi súčinnosť vhodnými technickými a organizačnými opatreniami, pokiaľ je to možné, pri plnení povinnosti Prevádzkovateľa reagovať na žiadosti dotknutých osôb pri výkone ich práv podľa čl. 15 až 22 GDPR (právo na prístup, opravu, vymazanie, obmedzenie spracúvania, prenosnosť údajov a právo namietať).
8.2 Žiadosti dotknutých osôb (vlastníkov bytov) vybavuje primárne Prevádzkovateľ, keďže je vo vzťahu k týmto údajom prevádzkovateľom. Ak sa dotknutá osoba obráti priamo na Sprostredkovateľa, Sprostredkovateľ ju bez zbytočného odkladu odkáže na Prevádzkovateľa a o žiadosti Prevádzkovateľa informuje, pričom žiadosť sám nevybavuje, ak na to nedostane pokyn Prevádzkovateľa.
8.3 Sprostredkovateľ poskytne súčinnosť bez zbytočného odkladu, najneskôr do 5 pracovných dní od doručenia žiadosti Prevádzkovateľa, tak, aby Prevádzkovateľ stihol zákonné lehoty na vybavenie žiadosti dotknutej osoby.
Článok 9 - Pomoc pri plnení povinností podľa čl. 32 až 36 GDPR (čl. 28 ods. 3 písm. f) GDPR)
9.1 Sprostredkovateľ poskytne Prevádzkovateľovi súčinnosť pri zabezpečení plnenia povinností podľa čl. 32 až 36 GDPR, a to s prihliadnutím na povahu spracúvania a informácie, ktoré má Sprostredkovateľ k dispozícii. Ide najmä o súčinnosť pri:
a) zaistení bezpečnosti spracúvania (čl. 32), b) oznamovaní porušenia ochrany osobných údajov Úradu na ochranu osobných údajov SR (čl. 33), c) oznamovaní porušenia ochrany osobných údajov dotknutým osobám (čl. 34), d) posúdení vplyvu na ochranu údajov, tzv. DPIA (čl. 35), e) predchádzajúcej konzultácii s dozorným orgánom (čl. 36).
Článok 10 - Oznamovanie porušenia ochrany osobných údajov (čl. 33 GDPR)
10.1 Sprostredkovateľ oznámi Prevádzkovateľovi každé porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel, najneskôr však do 48 hodín od zistenia porušenia, aby Prevádzkovateľ mohol dodržať svoju zákonnú 72-hodinovú lehotu na oznámenie Úradu na ochranu osobných údajov SR podľa čl. 33 GDPR.
10.2 Oznámenie podľa bodu 10.1 sa zasiela na kontaktný e-mail Prevádzkovateľa a obsahuje, ak je to možné, najmä: a) opis povahy porušenia ochrany osobných údajov vrátane kategórií a približného počtu dotknutých osôb a dotknutých záznamov, b) meno a kontaktné údaje kontaktného bodu Sprostredkovateľa, c) opis pravdepodobných následkov porušenia, d) opis prijatých alebo navrhovaných opatrení na nápravu, prípadne zmiernenie následkov.
10.3 Ak nie je možné poskytnúť informácie súčasne, Sprostredkovateľ ich poskytne postupne bez ďalšieho zbytočného odkladu.
Článok 11 - Vymazanie alebo vrátenie údajov po skončení spracúvania (čl. 28 ods. 3 písm. g) GDPR)
11.1 Po skončení poskytovania Služby Sprostredkovateľ podľa rozhodnutia Prevádzkovateľa buď všetky osobné údaje vymaže, alebo ich vráti Prevádzkovateľovi a vymaže existujúce kópie, ak právo Európskej únie alebo právo Slovenskej republiky nevyžaduje ich uchovanie.
11.2 Voľba Prevádzkovateľa Prevádzkovateľ oznámi svoju voľbu (vymazanie alebo vrátenie) najneskôr do 30 dní od ukončenia Hlavnej zmluvy. Ak Prevádzkovateľ v tejto lehote voľbu neoznámi, Sprostredkovateľ údaje vymaže.
11.3 Formát vrátenia Vrátenie údajov sa vykoná vo bežne používateľnom strojovo čitateľnom formáte (export). Prevádzkovateľ má počas trvania predplatného možnosť kedykoľvek si svoje údaje exportovať prostredníctvom funkcionalít Aplikácie.
11.4 Lehota a potvrdenie vymazania Sprostredkovateľ vymaže osobné údaje (vrátane kópií) bez zbytočného odkladu, najneskôr do 60 dní od uplatnenia voľby alebo od ukončenia Hlavnej zmluvy. Osobné údaje v záložných kópiách sa odstránia v rámci bežného cyklu rotácie záloh, najneskôr do 90 dní. Na žiadosť Prevádzkovateľa vystaví Sprostredkovateľ písomné potvrdenie o vymazaní údajov.
11.5 Ustanovenia o ukončení spracúvania osobných údajov sa nedotýkajú platobných podmienok podľa Hlavnej zmluvy (najmä politiky bez vrátenia platby po aktivácii a prístupu do konca zaplateného obdobia). Prístup k Aplikácii a možnosť exportu trvá do konca zaplateného obdobia.
Článok 12 - Audit a preukazovanie súladu (čl. 28 ods. 3 písm. h) GDPR)
12.1 Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v čl. 28 GDPR a v tejto Zmluve.
12.2 Sprostredkovateľ umožní a prispeje k auditom a kontrolám (vrátane inšpekcií) vykonávaným Prevádzkovateľom alebo iným audítorom, ktorého Prevádzkovateľ poveril.
12.3 Primeraný mechanizmus auditu Na splnenie povinnosti podľa bodov 12.1 a 12.2 môže Sprostredkovateľ v prvom rade preukázať súlad poskytnutím relevantných dokumentov, certifikátov, kódexov správania alebo audítorských správ (vrátane správ vystavených nezávislými tretími stranami alebo poskytovateľmi sub-processorov), ak sú dostupné. Fyzická inšpekcia na mieste sa vykoná len vtedy, ak takéto podklady na preukázanie súladu nepostačujú, a to po predchádzajúcom písomnom oznámení v primeranej lehote (najmenej 14 dní vopred), počas bežných pracovných hodín, tak, aby nebola neprimerane narušená prevádzka Sprostredkovateľa, a pri zachovaní dôvernosti a bezpečnosti údajov iných zákazníkov.
12.4 Náklady na audit nad rámec poskytnutia bežných podkladov podľa bodu 12.3 znáša Prevádzkovateľ, ak audit nepreukáže pochybenie na strane Sprostredkovateľa.
Článok 13 - Cezhraničné prenosy (čl. 44 až 46 GDPR)
13.1 Osobné údaje vlastníkov bytov (spracúvané v sprostredkovateľskej role) sú uchovávané výlučne v databáze umiestnenej v Európskej únii (na infraštruktúre hostingu v Nemecku (EÚ)). Tieto údaje sa neprenášajú do tretích krajín a neposkytujú sa sub-processorom Clerk ani Stripe.
13.2 Sub-processori Clerk Inc. a Stripe Inc. so sídlom v Spojených štátoch amerických spracúvajú osobné údaje účtu (Clerk: meno a e-mail používateľa) a fakturačné a platobné údaje (Stripe), pri ktorých je VisionEdge, s. r. o. v role prevádzkovateľa. V tomto rozsahu môže dochádzať k prenosu osobných údajov do USA.
13.3 Prenosy podľa bodu 13.2 sú zabezpečené prostredníctvom záruk podľa kapitoly V GDPR, najmä: a) certifikácie poskytovateľov v rámci EU-US Data Privacy Framework (DPF) na základe vykonávacieho rozhodnutia Komisie (EÚ) 2023/1795 o primeranosti ochrany, a/alebo b) štandardných zmluvných doložiek (SCC) prijatých Európskou komisiou vykonávacím rozhodnutím (EÚ) 2021/914 ako záložného mechanizmu podľa čl. 46 GDPR pre prípad, že by rámec DPF prestal byť uplatniteľný.
13.4 Aplikácia nepoužíva žiadnu externú e-mailovú službu ani objektové úložisko tretej strany, takže v tomto rozsahu nevzniká žiadny ďalší prenos osobných údajov mimo EÚ.
Článok 14 - Práva a povinnosti prevádzkovateľa
14.1 Prevádzkovateľ je zodpovedný za zákonnosť spracúvania osobných údajov vlastníkov bytov, najmä za existenciu primeraného právneho základu, za splnenie informačnej povinnosti voči dotknutým osobám podľa čl. 13 a 14 GDPR a za správnosť a aktuálnosť pokynov udelených Sprostredkovateľovi.
14.2 Prevádzkovateľ vyhlasuje, že do Aplikácie nahráva len osobné údaje, na spracúvanie ktorých má právny základ, a v rozsahu nevyhnutnom na poskytovanie Služby. Prevádzkovateľ najmä nenahráva do Aplikácie dátum narodenia ani rodné číslo vlastníkov bytov, keďže Aplikácia tieto údaje zámerne nespracúva a aktívne ich pri importe odstraňuje.
14.3 Zdroj osobných údajov vlastníkov bytov: tieto údaje nepochádzajú priamo od dotknutej osoby (vlastníka), ale od Prevádzkovateľa, spravidla z listu vlastníctva. Splnenie informačnej povinnosti podľa čl. 14 GDPR voči vlastníkom bytov zabezpečuje Prevádzkovateľ.
Článok 15 - Zodpovednosť a záverečné ustanovenia
15.1 Každá zmluvná strana zodpovedá za škodu spôsobenú porušením svojich povinností podľa GDPR a tejto Zmluvy v rozsahu podľa čl. 82 GDPR. Obmedzenia zodpovednosti dohodnuté v Hlavnej zmluve sa primerane vzťahujú aj na túto Zmluvu v rozsahu, v akom to pripúšťajú právne predpisy.
15.2 Táto Zmluva je uzavretá v písomnej forme vrátane elektronickej formy (čl. 28 ods. 9 GDPR) a nadobúda účinnosť dňom akceptácie pri registrácii do Aplikácie, najneskôr v deň začatia spracúvania osobných údajov.
15.3 V prípade rozporu medzi touto Zmluvou a Hlavnou zmluvou alebo VOP majú vo veciach ochrany osobných údajov prednosť ustanovenia tejto Zmluvy. Platobné a obchodné podmienky (ročné predplatné, automatické obnovenie, bez vrátenia platby po aktivácii, prístup do konca zaplateného obdobia) sa riadia Hlavnou zmluvou a VOP; táto Zmluva si s nimi neodporuje a rieši výlučne ochranu osobných údajov.
15.4 Táto Zmluva sa riadi právnym poriadkom Slovenskej republiky. Vo veciach neupravených touto Zmluvou sa primerane použijú ustanovenia GDPR, zákona č. 18/2018 a Hlavnej zmluvy.
15.5 Neoddeliteľnou súčasťou tejto Zmluvy sú prílohy:
- Príloha A - Špecifikácia spracúvania (predmet, účel, doba, kategórie údajov a dotknutých osôb)
- Príloha B - Technické a organizačné bezpečnostné opatrenia (čl. 32 GDPR)
- Príloha C - Zoznam schválených sub-processorov
- Príloha D - Zásady ochrany osobných údajov (informačná povinnosť čl. 13 a 14 GDPR)
PRÍLOHA A - Špecifikácia spracúvania
| Položka | Špecifikácia |
|---|---|
| Predmet spracúvania | Spracúvanie osobných údajov vlastníkov bytov a nebytových priestorov a súvisiacich údajov bytového domu nahraných Zákazníkom do Aplikácie. |
| Povaha spracúvania | Automatizované spracúvanie: uloženie, usporiadanie, vyhľadávanie, používanie, generovanie výstupných dokumentov na vyžiadanie, vymazanie. |
| Účel spracúvania | Príprava, vyplnenie a vygenerovanie žiadosti o úver zo Štátneho fondu rozvoja bývania na obnovu bytového domu a jej zákonných príloh. |
| Doba spracúvania | Počas trvania predplatného Služby; po ukončení podľa čl. 11 Zmluvy. |
Kategórie dotknutých osôb:
- Vlastníci bytov a nebytových priestorov (fyzické osoby).
- Vlastníci, ktorí sú fyzickými osobami podnikateľmi (hybridné družstevné vlastníctvo).
- Oprávnené technické osoby (OTD) zapojené do procesu.
- Osoby uvedené vo výsledkoch hlasovania vlastníkov; voľné textové polia (napríklad odkaz na zápisnicu alebo poznámky) môžu obsahovať ďalšie osobné údaje, ktorých rozsah a zákonnosť určuje Zákazník ako prevádzkovateľ.
Kategórie osobných údajov spracúvaných v sprostredkovateľskej role:
| Kategória údajov | Konkrétne údaje |
|---|---|
| Vlastník bytu (fyzická osoba) | Meno, adresa, spoluvlastnícky podiel. |
| Vlastník - podnikateľ / právnická osoba | IČO, DIČ, adresa / sídlo živnosti, hospodárska činnosť, veľkostná kategória podniku. |
| Oprávnená technická osoba (OTD) | Meno a priezvisko, titul, číslo osvedčenia. |
| Výsledky hlasovania vlastníkov | Počty hlasov za / proti / nehlasoval, dátum, typ hlasovania, voliteľný textový odkaz na zápisnicu (názov / odkaz, nie binárny súbor). |
| Bankové údaje fondu prevádzky, údržby a opráv (FPÚO) | Číslo účtu, IBAN, kód a názov banky, zostatok (údaje bytového domu / správcu). |
| Osobné údaje vo voľných textových poliach | Údaje zadané Zákazníkom do voľných textových polí (napríklad odkaz na zápisnicu, poznámky); rozsah a zákonnosť určuje Zákazník ako prevádzkovateľ. |
Zámerne NESPRACÚVANÉ údaje (minimalizácia, čl. 5 ods. 1 písm. c) GDPR): Aplikácia nespracúva dátum narodenia ani rodné číslo vlastníkov bytov. Tieto údaje sa v dátovej štruktúre Aplikácie vôbec nenachádzajú a pri importe z listu vlastníctva sa automaticky odstraňujú ešte pred uložením. Nahraný list vlastníctva sa do trvalého úložiska neukladá; spracúva sa len dočasne počas importu a následne sa zahodí. Trvalo sa ukladajú výlučne meno, adresa a spoluvlastnícky podiel.
PRÍLOHA B - Technické a organizačné bezpečnostné opatrenia (čl. 32 GDPR)
1. Riadenie prístupu a izolácia tenantov (multi-tenancy)
- Prístup k údajom je viazaný na autentifikovaného používateľa prostredníctvom služby Clerk.
- Oddelenie údajov jednotlivých zákazníkov je technicky vynútené priamo na úrovni databázy (riadkové zabezpečenie, Row-Level Security) podľa identifikátora organizácie, čím sa zabraňuje prístupu jedného zákazníka k údajom iného zákazníka.
2. Šifrovanie a prenos
- Prenos údajov medzi používateľom a Aplikáciou je chránený protokolom HTTPS / TLS.
- Komunikácia so sub-processormi prebieha šifrovanými kanálmi.
3. Minimalizácia a obmedzenie uchovávania
- Aplikácia zámerne nespracúva dátum narodenia ani rodné číslo vlastníkov bytov.
- Nahraný list vlastníctva sa nepersistuje (číta sa len do pamäte a zahadzuje).
- Generované dokumenty (DOCX/XLSX) sa vytvárajú na vyžiadanie pri každom stiahnutí a neukladajú sa na server ani do vyrovnávacej pamäte (odpovede sú označené hlavičkami, ktoré zakazujú ich ukladanie do vyrovnávacej pamäte).
- Do platobnej služby Stripe sa zámerne odovzdáva len identifikátor organizácie, žiadne osobné údaje vlastníkov.
4. Bezpečné logovanie
- Pri spracovaní a chybách sa logujú len identifikátory (kód dokumentu, identifikátor žiadosti, identifikátor organizácie, názov chyby). Nelogujú sa obsahy dokumentov ani osobné polia dotknutých osôb.
5. Bezpečnostné HTTP hlavičky
- Aplikácia je nasadená s bezpečnostnými HTTP hlavičkami (najmä HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy) a vynúteným HTTPS.
6. Odolnosť, zálohovanie a obnova
- Infraštruktúra a databáza sú prevádzkované v dátovom centre v Nemecku (EÚ) s pravidelným zálohovaním a otestovaným postupom obnovy.
7. Integrita platobných operácií
- Spracovanie platobných oznámení z platobnej brány je navrhnuté tak, aby sa predišlo ich duplicitnému alebo neúplnému spracovaniu.
8. Organizačné opatrenia
- Osoby oprávnené spracúvať údaje sú viazané mlčanlivosťou.
- Prístupy sú udeľované na princípe najnižších potrebných oprávnení (least privilege).
- Sub-processorom sú zmluvne uložené rovnaké povinnosti ochrany údajov (flow-down).
Poznámka: Tento opis predstavuje stav opatrení k dátumu účinnosti. Sprostredkovateľ je oprávnený opatrenia aktualizovať pri zachovaní primeranej úrovne ochrany podľa čl. 32 GDPR.
PRÍLOHA C - Zoznam schválených sub-processorov
| Sub-processor | Účel spracúvania | Spracúvané údaje | Krajina spracúvania | Záruka prenosu |
|---|---|---|---|---|
| Clerk Inc. | Autentifikácia používateľov, správa organizácií / tenantov | Meno a e-mail používateľa, názov organizácie | USA | EU-US Data Privacy Framework (DPF) a/alebo štandardné zmluvné doložky (SCC) |
| Stripe Inc. | Správa ročného predplatného, platby (karty / SEPA), fakturácia | Fakturačné a platobné údaje organizácie (odovzdáva sa len identifikátor organizácie) | USA | EU-US Data Privacy Framework (DPF) a/alebo štandardné zmluvné doložky (SCC) |
| Poskytovateľ hostingu a infraštruktúry (Hetzner Online GmbH) | Hosting aplikácie a databázy | Všetky aplikačné údaje vrátane údajov vlastníkov bytov | Nemecko (EÚ) | Bez prenosu mimo EÚ |
Mechanizmus oznamovania zmien: Sprostredkovateľ oznámi pridanie alebo nahradenie sub-processora najmenej 30 dní vopred. Prevádzkovateľ má právo namietať v lehote 30 dní (čl. 7.2 Zmluvy). Aktuálny zoznam sub-processorov je verejne dostupný a udržiavaný na sfrb.visionedge.sk.
Poznámka: Aplikácia nepoužíva žiadnu externú e-mailovú službu ani objektové úložisko tretej strany. V prípade ich budúceho zapojenia bude tento zoznam aktualizovaný a Prevádzkovateľ informovaný podľa čl. 7.2.
PRÍLOHA D - Informačná povinnosť (Zásady ochrany osobných údajov)
Informačná povinnosť podľa čl. 13 a 14 GDPR a § 19 zákona č. 18/2018 Z. z. voči dotknutým osobám je splnená samostatným dokumentom Zásady ochrany osobných údajov, ktorý je trvalo dostupný na sfrb.visionedge.sk a v päte Aplikácie. Tento samostatný dokument je jediným záväzným zdrojom informačnej povinnosti; v prípade rozporu medzi týmto stručným zhrnutím a samostatnými Zásadami majú prednosť samostatné Zásady.
Pre prehľadnosť pripomíname rozdelenie rolí: pri osobných údajoch vlastníkov bytov je prevádzkovateľom Zákazník a VisionEdge, s. r. o. je sprostredkovateľom (rieši táto Zmluva); pri údajoch účtu, kontaktných osôb a fakturačných údajoch je prevádzkovateľom VisionEdge, s. r. o. (rieši samostatný dokument Zásady ochrany osobných údajov).
Dátum účinnosti: 1. 7. 2026 Verzia: 1.0