Dohoda o spracúvaní údajov

Platné od 26. novembra 2025

V súlade s požiadavkami nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov, ktorým sa ruší smernica 95/46/ES (ďalej len „Všeobecné nariadenie o ochrane údajov“), ako aj právnymi predpismi o ochrane údajov platnými v Spojenom kráľovstve Veľkej Británie a Severného Írska, spoločnosť ESET (ďalej len „Sprostredkovateľ“) a Zákazník (ďalej len „Prevádzkovateľ“) vstupujú do zmluvného vzťahu týkajúceho sa spracúvania údajov s cieľom vymedziť podmienky pre spracúvanie osobných údajov a spôsob ich ochrany a stanoviť ďalšie práva a povinnosti obidvoch strán vo vzťahu k spracúvaniu osobných údajov dotknutých osôb v mene Prevádzkovateľa v priebehu vykonávania predmetu týchto Podmienok ako hlavnej zmluvy.

1. Osobné údaje Na poskytovanie Služieb v súlade s Podmienkami môže byť potrebné, aby Sprostredkovateľ spracúval informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „Osobné údaje“) v mene Prevádzkovateľa.
2. Poverenie. Prevádzkovateľ poveruje sprostredkovateľa spracúvaním osobných údajov, pričom
   1. „účel spracúvania“ označuje poskytovanie objednaných Služieb, ako sú definované v prílohách, v súlade s Podmienkami.
   2. „doba spracúvania“ označuje obdobie, počas ktorého sa Služby majú poskytovať.
   3. „rozsah a kategórie Osobných údajov“ zahŕňa všetky Osobné údaje, ktoré Prevádzkovateľ poskytol alebo sprístupnil počas poskytovania Služieb, najmä akékoľvek Osobné údaje uvedené v žiadostiach o poskytnutie Služby alebo počas procesu vybavovania žiadostí o poskytnutie Služby alebo akékoľvek Osobné údaje, ktoré môžu byť prístupné alebo dostupné Sprostredkovateľovi v prípade, že Prevádzkovateľ poskytol dočasný alebo trvalý prístup k svojim Produktom alebo zariadeniam počas výkonu Služieb.
   4. „dotknutá osoba“ označuje všetky fyzické osoby, ktoré sú oprávnenými používateľmi zariadení Prevádzkovateľa a/alebo zamestnancami alebo dodávateľmi Prevádzkovateľa, prípadne jeho pridruženými subjektmi, ako aj všetky osoby, ktorých údaje môže Prevádzkovateľ poskytnúť alebo sprístupniť Sprostredkovateľovi počas výkonu Služieb.
   5. „operácie spracovania“ sú všetky operácie potrebné na účel spracúvania.
   6. „zdokumentované pokyny“ označujú pokyny na spracúvanie Osobných údajov opísané v Podmienkach, ich prílohách, dokumentácii k Službe alebo v žiadostiach o poskytnutie Služby.
3. Povinnosti sprostredkovateľa. Sprostredkovateľ je povinný dodržiavať nasledovné:
   1. Spracúvať Osobné údaje na účel poskytovania Služieb v súlade s Podmienkami a len na základe zdokumentovaných pokynov, okrem iného vo vzťahu k prenosom Osobných údajov do tretej krajiny, pokiaľ právne predpisy EÚ, členského štátu alebo Spojeného kráľovstva neurčujú inak; v takých prípadoch Sprostredkovateľ o danej zákonnej požiadavke informuje Prevádzkovateľa pred spracúvaním, pokiaľ dané právne predpisy takéto informovanie nezakazujú z významných dôvodov verejného záujmu.
   2. Poučiť osoby oprávnené spracúvať Osobné údaje (ďalej len „Oprávnené osoby“) o ich právach a povinnostiach podľa Všeobecného nariadenia o ochrane údajov, o ich zodpovednosti v prípade porušenia povinností a zabezpečiť, aby sa Oprávnené osoby oprávnené spracúvať Osobné údaje zaviazali zachovávať dôvernosť informácií a dodržiavať zdokumentované pokyny.
   3. Prijať všetky opatrenia týkajúce sa bezpečnosti spracúvania, ako sa vyžaduje podľa nariadenia GDPR, čl. 32, s prihliadnutím na stav techniky, náklady na realizáciu a povahu, rozsah, kontext a účely spracúvania, ako aj na zmiernenie rizika rôznej pravdepodobnosti a závažnosti týkajúcej sa práv a slobôd fyzických osôb s cieľom zabezpečiť úroveň bezpečnosti pri spracúvaní Osobných údajov Prevádzkovateľa, ktorá je primeraná danému riziku.
   4. Vzhľadom na povahu spracúvania pomáhať Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami, pokiaľ je to možné, pri plnení povinnosti Prevádzkovateľa reagovať na žiadosti o výkon práv Dotknutej osoby stanovených v nariadení GDPR, kapitola III.
   5. Na požiadanie poskytnúť Prevádzkovateľovi primeranú pomoc pri zabezpečovaní súladu s povinnosťami podľa nariadenia GDPR, články 32 až 36, pričom sa zohľadní povaha spracúvania a informácie, ktoré má Sprostredkovateľ k dispozícii. Sprostredkovateľ oznámi Prevádzkovateľovi každé porušenie spracúvania osobných údajov alebo bezpečnosti osobných údajov okamžite po jeho zistení. Sprostredkovateľ bude v primeranom rozsahu spolupracovať pri vyšetrovaní a náprave takéhoto porušenia a prijme primerané opatrenia, aby obmedzil ďalšie negatívne dôsledky.
   6. Podľa rozhodnutia Prevádzkovateľa vymazať alebo vrátiť všetky Osobné údaje spracované v mene Prevádzkovateľa do 30 (tridsiatich) pracovných dní po ukončení poskytovania Služieb súvisiacich so spracúvaním a vymazať existujúce kópie, pokiaľ právne predpisy EÚ alebo právne predpisy členského štátu EÚ nevyžaduje uchovávanie týchto Osobných údajov. Prevádzkovateľ sa zaväzuje informovať Sprostredkovateľa o svojom rozhodnutí do desiatich (10) dní po skončení Doby spracúvania. Toto ustanovenie nemá vplyv na právo Sprostredkovateľa uchovávať Osobné údaje v nevyhnutnom rozsahu na účely archivácie v zmysle osobitných právnych predpisov alebo na účely preukazovania, uplatňovania alebo ochrany právnych nárokov.
   7. Viesť aktuálny register všetkých kategórií spracovateľských činností, ktoré vykonal v mene Prevádzkovateľa.
   8. Sprístupniť Prevádzkovateľovi všetky informácie potrebné na preukázanie súladu v rámci Podmienok, ich príloh a dokumentácie s Službám, a ak je to nevyhnutne potrebné, umožniť audity vykonávané Prevádzkovateľom alebo iným audítorom povereným Prevádzkovateľom v súvislosti so spracúvaním vykonávaným v rozsahu tejto Dohody. V prípade auditu alebo kontroly spracúvania Osobných údajov zo strany Prevádzkovateľa je Prevádzkovateľ povinný písomne informovať Sprostredkovateľa najmenej desať (10) dní pred plánovaným auditom alebo kontrolou.
4. Zapojenie ďalšieho sprostredkovateľa. Sprostredkovateľ je vo všeobecnosti oprávnený zapojiť iného sprostredkovateľa (ďalej len „Ďalší sprostredkovateľ“) do vykonávania konkrétnych spracovateľských činností v súlade s Podmienkami, najmä s touto Dohodou a dokumentáciou k Službám. Sprostredkovateľ zabezpečí, aby bol každý takýto Ďalší sprostredkovateľ viazaný rovnakými povinnosťami, aké sú stanovené v tejto Dohode. Aj v takomto prípade zostáva Sprostredkovateľ plne zodpovedný voči Prevádzkovateľovi za spracovanie akýchkoľvek Osobných údajov Ďalším sprostredkovateľom. Sprostredkovateľ zapojí Distribútora ako svojho Ďalšieho sprostredkovateľa na účely výkonu Služieb. Sprostredkovateľ je povinný informovať Prevádzkovateľa o všetkých zamýšľaných zmenách týkajúcich sa pridania alebo nahradenia iných Ďalších sprostredkovateľov, čím poskytne Prevádzkovateľovi možnosť proti takýmto zmenám vzniesť námietky. Akékoľvek námietky voči novému Ďalšiemu sprostredkovateľovi musia byť doručené do siedmich (7) pracovných dní od oznámenia, inak sa nový Ďalší sprostredkovateľ považuje Prevádzkovateľom za schváleného. Ak Prevádzkovateľ odôvodnene namieta voči novému Ďalšiemu sprostredkovateľovi a námietku nie je možné uspokojivo vyriešiť v primeranej lehote, Prevádzkovateľ môže túto Dohodu vypovedať bez sankcií na základe 30-dňového (tridsaťdňového) písomného oznámenia Sprostredkovateľovi. Ak námietka Prevádzkovateľa zostane nevyriešená 30 (tridsať) dní po jej vznesení a nebolo doručené žiadne oznámenie o ukončení, má sa za to, že Prevádzkovateľ schvaľuje nového Ďalšieho sprostredkovateľa.
5. Územná pôsobnosť. Sprostredkovateľ vynaloží maximálne úsilie s cieľom zabezpečiť, aby sa spracúvanie údajov uskutočňovalo v Európskom hospodárskom priestore alebo v krajine označenej Európskou komisiou za bezpečnú, a to na základe rozhodnutia Prevádzkovateľa. V prípade prenosu a spracúvania Osobných údajov nachádzajúcich sa mimo Európskeho hospodárskeho priestoru alebo krajiny označenej Európskou komisiou za bezpečnú sa uplatňujú Štandardné zmluvné doložky (k dispozícii tu: Štandardné zmluvné doložky | Služby ESET | ESET Online pomocník).
6. Bezpečnosť. Sprostredkovateľ je držiteľom certifikátu ISO 27001 a používa štandard ISO 27001 pre implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na vrstve siete, operačných systémov, databáz, aplikácií, personálu a operačných procesov. Dodržiavanie zmluvných požiadaviek a požiadaviek vychádzajúcich z právnych predpisov sa pravidelne vyhodnocuje a prehodnocuje podobne ako iné infraštruktúry a procesy Sprostredkovateľa, pričom sa tiež neustále prijímajú nevyhnutné kroky na zabezpečenie súladu s požiadavkami. Sprostredkovateľ zaisťuje bezpečnosť údajov pomocou systému riadenia bezpečnosti informácií (ISMS) založenom na norme ISO 27001. Bezpečnostná dokumentácia obsahuje najmä dokumenty týkajúce sa politík pre bezpečnosť informácií, fyzickú bezpečnosť, zabezpečenie zariadení, správu incidentov, riešenie únikov údajov a bezpečnostných incidentov atď.
7. Technické a organizačné opatrenia. Sprostredkovateľ chráni osobné údaje pred náhodným a nezákonným poškodením a zničením, náhodnou stratou, zmenou, neoprávneným prístupom a zverejnením. Na tento účel Sprostredkovateľ prijme primerané technické a organizačné opatrenia zodpovedajúce spôsobu spracúvania a riziku, ktoré spracúvanie predstavuje pre práva Dotknutých osôb v súlade s požiadavkami nariadenia GDPR. Podrobný opis technických a organizačných opatrení je uvedený v bezpečnostnej dokumentácii týkajúcej sa konkrétneho Produktu.
8. Kontaktné informácie sprostredkovateľa. Všetky oznámenia, žiadosti, požiadavky a ďalšia komunikácia týkajúca sa ochrany osobných údajov sa adresujú spoločnosti ESET, spol. s.r.o., zodpovednej osobe: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.