PRÍLOHA č. 3 k Podmienkam používania: Dohoda o spracúvaní údajov

Platné od 26. novembra 2025

Táto dohoda o spracúvaní údajov sa uplatňuje medzi vami a spoločnosťou ESET vždy, keď spracúvate osobné údaje ako prevádzkovateľ údajov prostredníctvom používania služieb spoločnosti ESET poskytovaných na základe podmienok a spoločnosť ESET spracúva tieto osobné údaje vo vašom mene ako sprostredkovateľ údajov.

V súlade s požiadavkami nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie GDPR“) spoločnosť ESET (ďalej len „sprostredkovateľ“) a vy (ďalej len „prevádzkovateľ“) vstupujete do zmluvného vzťahu týkajúceho sa spracúvania údajov s cieľom vymedziť podmienky pre spracúvanie osobných údajov a spôsob ich ochrany, ako aj stanoviť ďalšie práva a povinnosti obidvoch strán pri spracúvaní osobných údajov dotknutých osôb v mene prevádzkovateľa v priebehu vykonávania predmetu týchto podmienok ako hlavnej zmluvy.

1. Spracúvanie osobných údajov. Služby poskytované v súlade s týmito podmienkami zahŕňajú spracúvanie informácií týkajúcich sa identifikovanej alebo identifikovateľnej fyzickej osoby v mene prevádzkovateľa, ako sú uvedené v zásadách ochrany osobných údajov (ďalej len „osobné údaje“).

2. Poverenie. Prevádzkovateľ poveruje sprostredkovateľa spracúvaním osobných údajov, pričom

(i) „účel spracúvania“ znamená poskytovanie služieb v súlade s týmito podmienkami a dokumentáciou, sprostredkovateľ môže spracúvať osobné údaje v mene prevádzkovateľa len v súvislosti s poskytovaním služieb vyžiadaných prevádzkovateľom, všetky informácie zhromaždené na dodatočné účely sa spracúvajú mimo zmluvného vzťahu medzi prevádzkovateľom a sprostredkovateľom,

(ii) „obdobie spracúvania“ znamená obdobie od začatia spolupráce podľa týchto podmienok do jej ukončenia,

(iii) „rozsah a kategórie osobných údajov“ znamenajú všetky osobné údaje, ktoré prevádzkovateľ poskytol alebo sprístupnil počas poskytovania služieb. Tieto služby sú určené na spracúvanie iba všeobecných osobných údajov. Prevádzkovateľ však nesie výhradnú zodpovednosť za určenie rozsahu osobných údajov,

(iv) „dotknutá osoba“ je fyzická osoba ako oprávnený používateľ zariadení prevádzkovateľa, pre ktoré sa poskytujú služby,

(v) spracovateľské činnosti predstavujú všetky operácie potrebné na spracúvanie,

(vi) „zdokumentované pokyny” znamenajú pokyny uvedené v týchto podmienkach, ich prílohách, zásadách ochrany osobných údajov a v dokumentácii. Prevádzkovateľ je zodpovedný za právnu prípustnosť spracúvania osobných údajov sprostredkovateľom s ohľadom na príslušné platné ustanovenia zákona o ochrane osobných údajov.

3. Povinnosti sprostredkovateľa. Sprostredkovateľ je povinný:

(i) spracúvať osobné údaje len na základe zdokumentovaných pokynov a v súlade s účelom spracúvania,

(ii) poučiť osoby oprávnené spracúvať osobné údaje („oprávnené osoby“) o ich právach a povinnostiach podľa všeobecného nariadenia o ochrane údajov, o ich zodpovednosti v prípade porušenia a zabezpečiť, aby sa oprávnené osoby zaviazali zachovávať dôvernosť informácií a dodržiavali zdokumentované pokyny,

(iii) prijať všetky opatrenia týkajúce sa bezpečnosti spracúvania, ako sa vyžaduje podľa nariadenia GDPR, čl. 32, s prihliadnutím na stav techniky, náklady na realizáciu a povahu, rozsah, kontext a účely spracúvania, ako aj na zmiernenie rizika rôznej pravdepodobnosti a závažnosti týkajúcej sa práv a slobôd fyzických osôb s cieľom zabezpečiť úroveň bezpečnosti pri spracúvaní Osobných údajov Prevádzkovateľa, ktorá je primeraná danému riziku.

(iv) s prihliadnutím na povahu spracúvania pomáhať prevádzkovateľovi reagovať na žiadosti dotknutých osôb súvisiace s ich právami. Sprostredkovateľ nesmie opraviť, odstrániť ani obmedziť spracúvanie osobných údajov bez pokynu prevádzkovateľa. Všetky žiadosti dotknutej osoby týkajúce sa osobných údajov spracúvaných v mene prevádzkovateľa sa bezodkladne prepošlú prevádzkovateľovi,

(v) pomáhať prevádzkovateľovi s oznámením porušenia ochrany osobných údajov dozornému orgánu a dotknutej osobe. Sprostredkovateľ oznámi prevádzkovateľovi každé porušenie spracúvania osobných údajov alebo bezpečnosti osobných údajov okamžite po jeho zistení. Sprostredkovateľ bude v primeranom rozsahu spolupracovať pri vyšetrovaní a náprave takéhoto porušenia a prijme primerané opatrenia, aby obmedzil ďalšie negatívne dôsledky.

(vi) podľa rozhodnutia prevádzkovateľa vymazať alebo vrátiť všetky osobné údaje prevádzkovateľovi po skončení doby spracúvania. Prevádzkovateľ sa zaväzuje informovať sprostredkovateľa o svojom rozhodnutí do desiatich (10) dní po skončení doby spracúvania. Toto ustanovenie nemá vplyv na právo sprostredkovateľa uchovávať osobné údaje v nevyhnutnom rozsahu na účely archivácie vo verejnom záujme, na účely vedeckého výskumu, na štatistické účely alebo na účely preukazovania, uplatňovania alebo ochrany právnych nárokov,

(vii) viesť aktuálny register všetkých kategórií spracovateľských činností, ktoré vykonal v mene prevádzkovateľa,

(viii) sprístupniť prevádzkovateľovi všetky informácie potrebné na preukázanie súladu v rámci podmienok, ich príloh, zásad ochrany osobných údajov a dokumentácie. V prípade auditu alebo kontroly spracúvania osobných údajov zo strany prevádzkovateľa je prevádzkovateľ povinný písomne informovať sprostredkovateľa najmenej tridsať (30) dní pred plánovaným auditom alebo kontrolou.

4. Zapojenie ďalšieho sprostredkovateľa. Sprostredkovateľ je oprávnený zapojiť ďalšieho sprostredkovateľa na vykonávanie špecifických spracovateľských činností, ako je napríklad poskytovanie cloudového úložiska a infraštruktúry pre službu, v súlade s podmienkami, ich prílohami, zásadami ochrany osobných údajov a dokumentáciou. Aj v tomto prípade zostane sprostredkovateľ jediným kontaktným miestom a stranou zodpovednou za zaistenie súladu s požiadavkami. Sprostredkovateľ sa týmto zaväzuje informovať Prevádzkovateľa o každom pridaní alebo nahradení iného sprostredkovateľa, čím mu umožní voči takejto zmene namietať. Aktuálne zapojení ďalší sprostredkovatelia sú uvedení v zásadách ochrany osobných údajov sprostredkovateľa.

5. Územná pôsobnosť. Sprostredkovateľ vynaloží maximálne úsilie s cieľom zabezpečiť, aby sa spracúvanie údajov uskutočňovalo v Európskom hospodárskom priestore alebo v krajine označenej Európskou komisiou za bezpečnú, a to na základe rozhodnutia Prevádzkovateľa. Štandardné zmluvné doložky sa uplatňujú v prípade prenosov údajov a spracúvania prebiehajúceho mimo Európskeho hospodárskeho priestoru alebo krajiny označenej Európskou komisiou za bezpečnú na žiadosť prevádzkovateľa.

6. Bezpečnosť. Sprostredkovateľ je držiteľom certifikátu ISO 27001 a používa štandard ISO 27001 pre implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na vrstve siete, operačných systémov, databáz, aplikácií, personálu a operačných procesov. Dodržiavanie zmluvných požiadaviek a požiadaviek vychádzajúcich z právnych predpisov sa pravidelne vyhodnocuje a prehodnocuje podobne ako iné infraštruktúry a operácie sprostredkovateľa, pričom sa tiež neustále prijímajú nevyhnutné kroky na zabezpečenie súladu s požiadavkami. Sprostredkovateľ zaisťuje bezpečnosť údajov pomocou systému riadenia bezpečnosti informácií (ISMS) založenom na norme ISO 27001. Bezpečnostná dokumentácia obsahuje najmä dokumenty týkajúce sa politík pre bezpečnosť informácií, fyzickú bezpečnosť, zabezpečenie zariadení, správu incidentov, riešenie únikov údajov a bezpečnostných incidentov atď.

7. Technické a organizačné opatrenia. Sprostredkovateľ chráni osobné údaje pred náhodným a nezákonným poškodením a zničením, náhodnou stratou, zmenou, neoprávneným prístupom a zverejnením. Na tento účel sprostredkovateľ prijme primerané technické a organizačné opatrenia zodpovedajúce spôsobu spracúvania a riziku, ktoré spracúvanie predstavuje pre práva dotknutých osôb v súlade s požiadavkami všeobecného nariadenia o ochrane údajov. Detailný opis technických a organizačných opatrení je uvedený v bezpečnostnej politike.

8. Kontaktné informácie sprostredkovateľa. Všetky oznámenia, žiadosti, požiadavky a ďalšia komunikácia týkajúca sa ochrany osobných údajov sa adresujú spoločnosti ESET, spol. s.r.o., zodpovednej osobe: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.