Zmluva o spracúvaní osobných údajov (DPA)
podľa čl. 28 Nariadenia (EÚ) 2016/679 (GDPR) a § 34 zákona č. 18/2018 Z. z.
Verzia: 1.0 · Dátum účinnosti: 15. 6. 2026
Táto zmluva tvorí neoddeliteľnú súčasť Všeobecných obchodných podmienok služby Ordio a uzatvára sa medzi:
- Prevádzkovateľ: Objednávateľ (zákazník služby Ordio), ktorý do Služby vkladá osobné údaje. Identifikácia podľa údajov účtu Objednávateľa.
- Sprostredkovateľ: VisionEdge s. r. o., 29. augusta 1503/1A, 958 01 Partizánske, IČO: 51962161, zápis v Obchodnom registri Okresného súdu Trenčín, oddiel Sro, vložka č. 37109/R (ďalej len „Sprostredkovateľ").
1. Predmet a trvanie
1.1 Sprostredkovateľ spracúva osobné údaje v mene Prevádzkovateľa výlučne na účel poskytovania služby Ordio podľa VOP.
1.2 Spracúvanie trvá počas platnosti zmluvy o poskytovaní Služby. Po jej ukončení sa postupuje podľa čl. 7.
2. Povaha a účel spracúvania
2.1 Povaha: zhromažďovanie, ukladanie, štruktúrovanie, zobrazovanie, úprava, prenos (v rámci sprostredkovateľov), zálohovanie a výmaz osobných údajov vykonávané automatizovane v rámci Služby.
2.2 Účel: prevádzka funkcií Ordia (správa odberateľov a kontaktov, objednávky, fakturácia a doklady) pre Prevádzkovateľa.
2.3 Kategórie dotknutých osôb a údajov: viď Príloha 1.
3. Pokyny Prevádzkovateľa
3.1 Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa. Pokynom sa rozumie aj používanie Služby Prevádzkovateľom a tieto VOP/DPA.
3.2 Ak je Sprostredkovateľ povinný spracúvať údaje na základe práva EÚ alebo SR, informuje o tom Prevádzkovateľa, ak to právo nezakazuje.
3.3 Ak sa Sprostredkovateľ domnieva, že pokyn porušuje GDPR alebo iné predpisy, bezodkladne to oznámi Prevádzkovateľovi.
4. Povinnosti Sprostredkovateľa
4.1 Dôvernosť: Sprostredkovateľ zabezpečí, aby osoby oprávnené spracúvať údaje boli viazané mlčanlivosťou.
4.2 Bezpečnosť (čl. 32 GDPR): Sprostredkovateľ prijme primerané technické a organizačné opatrenia podľa Prílohy 3.
4.3 Pomoc Prevádzkovateľovi: Sprostredkovateľ v primeranom rozsahu pomáha Prevádzkovateľovi pri plnení povinností reagovať na žiadosti dotknutých osôb (čl. 12 až 23) a pri plnení povinností podľa čl. 32 až 36 (bezpečnosť, oznamovanie porušení, posúdenie vplyvu).
4.4 Porušenie ochrany údajov: Sprostredkovateľ bezodkladne, najneskôr však do 48 hodín od zistenia, oznámi Prevádzkovateľovi každé porušenie ochrany osobných údajov a poskytne súčinnosť pri jeho riešení.
4.5 Audit: Sprostredkovateľ sprístupní Prevádzkovateľovi informácie potrebné na preukázanie plnenia povinností podľa čl. 28 a umožní audit či kontrolu v primeranom rozsahu a po predchádzajúcej dohode, pri zachovaní dôvernosti a bezpečnosti ostatných zákazníkov.
5. Ďalší sprostredkovatelia (sub-procesori)
5.1 Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecný súhlas so zapojením ďalších sprostredkovateľov uvedených v Prílohe 2.
5.2 Sprostredkovateľ uloží ďalším sprostredkovateľom rovnocenné povinnosti ochrany údajov, aké má sám podľa tejto DPA.
5.3 O zamýšľanej zmene v zozname ďalších sprostredkovateľov Sprostredkovateľ informuje Prevádzkovateľa vopred a umožní mu vzniesť námietky.
6. Prenos do tretích krajín
6.1 Prenos do krajín mimo EHP sa uskutoční len pri existencii primeraných záruk podľa GDPR, najmä na základe štandardných zmluvných doložiek (SCC) prijatých Európskou komisiou. Aktuálni sub-procesori a ich umiestnenie sú v Prílohe 2.
7. Vymazanie alebo vrátenie údajov
7.1 Po ukončení poskytovania Služby Sprostredkovateľ podľa voľby Prevádzkovateľa vráti alebo vymaže osobné údaje a existujúce kópie, ak právo EÚ alebo SR nevyžaduje ich ďalšie uchovanie. Lehota a postup sú zosúladené s VOP (čl. 10.4): export je dostupný počas 30 dní po ukončení.
8. Zodpovednosť a záverečné ustanovenia
8.1 Zodpovednosť strán sa riadi GDPR a VOP. Táto DPA má pri rozpore vo veciach spracúvania osobných údajov prednosť pred VOP.
8.2 Táto DPA sa riadi právnym poriadkom Slovenskej republiky.
Príloha 1: Kategórie dotknutých osôb a osobných údajov
Kategórie dotknutých osôb:
- kontaktné osoby a zástupcovia odberateľov Prevádzkovateľa,
- používatelia, ktorým Prevádzkovateľ zriadil prístup,
- ďalšie osoby, ktorých údaje Prevádzkovateľ vloží do Služby.
Kategórie osobných údajov:
- identifikačné a kontaktné údaje (meno, e-mail, telefón, funkcia),
- firemné a fakturačné údaje (obchodné meno, adresa, IČO, DIČ, IČ DPH),
- údaje v objednávkach, dokladoch a komunikácii,
- prevádzkové údaje (logy, identifikátory).
Osobitné kategórie údajov (čl. 9 GDPR) sa do Služby nemajú vkladať.
Príloha 2: Zoznam ďalších sprostredkovateľov
| Sprostredkovateľ | Účel | Umiestnenie | Záruka pri prenose |
|---|---|---|---|
| Hetzner Online GmbH | hosting serverovej infraštruktúry | EÚ | v rámci EHP |
| Clerk, Inc. | autentizácia a správa identít používateľov | USA | štandardné zmluvné doložky (SCC) |
| Resend, Inc. | odosielanie transakčných e-mailov | USA | štandardné zmluvné doložky (SCC) |
Úložisko dokumentov (MinIO) prevádzkujeme v rámci vlastnej infraštruktúry na serveroch Hetzner v EÚ.
Príloha 3: Technické a organizačné opatrenia (čl. 32 GDPR)
- Šifrovanie prenosu: všetka komunikácia cez HTTPS/TLS; bezpečnostné HTTP hlavičky (HSTS a ďalšie).
- Izolácia dát: logická izolácia údajov jednotlivých zákazníkov na úrovni databázy prostredníctvom politík riadenia prístupu k riadkom (row-level security); prevádzková databázová rola bez oprávnení na obchádzanie izolácie.
- Riadenie prístupu: autentizácia spravovaná poskytovateľom identít, riadenie rolí a oprávnení, prístup zamestnancov len v nevyhnutnom rozsahu.
- Zálohovanie a obnova: pravidelné šifrované zálohy s definovanou retenciou; otestovaná obnova.
- Dostupnosť a monitorovanie: monitorovanie prevádzky a protokolovanie prístupov.
- Riadenie zmien: kontrolovaný proces nasadzovania zmien a aktualizácií.
Opatrenia sa priebežne prehodnocujú a aktualizujú podľa stavu techniky.