Zmluva o spracúvaní osobných údajov (DPA)
podľa čl. 28 nariadenia (EÚ) 2016/679 (GDPR) a § 34 zákona č. 18/2018 Z. z.
Verzia: 1.0 · Dátum účinnosti: 21. 6. 2026
Táto zmluva tvorí neoddeliteľnú súčasť Všeobecných obchodných podmienok služby Deftio a uzatvára sa medzi:
- Prevádzkovateľ: Objednávateľ (zákazník služby Deftio), ktorý do Služby vkladá osobné údaje. Identifikácia podľa údajov účtu Objednávateľa. Ak Objednávateľ spracúva údaje v mene vlastných klientov, vystupuje ako sprostredkovateľ a Poskytovateľ ako ďalší sprostredkovateľ; ustanovenia tejto DPA sa použijú primerane.
- Sprostredkovateľ: VisionEdge s. r. o., 29. augusta 1503/1A, 958 01 Partizánske, IČO: 51962161, zápis v Obchodnom registri Okresného súdu Trenčín, oddiel Sro, vložka č. 37109/R (ďalej len „Sprostredkovateľ").
1. Predmet a trvanie
1.1 Sprostredkovateľ spracúva osobné údaje v mene Prevádzkovateľa výlučne na účel poskytovania služby Deftio podľa VOP, najmä na účel importu a spracovania bankových výpisov, klasifikácie transakcií, výpočtu dane a generovania a archivácie Oznámení.
1.2 Spracúvanie trvá počas platnosti zmluvy o poskytovaní Služby. Po jej ukončení sa postupuje podľa čl. 7.
2. Povaha a účel spracúvania
2.1 Povaha: zhromažďovanie, ukladanie, štruktúrovanie, zobrazovanie, úprava, klasifikácia, výpočet, generovanie výstupov, prenos (v rámci sprostredkovateľov), zálohovanie a výmaz osobných údajov vykonávané automatizovane v rámci Služby.
2.2 Účel: výpočet a príprava Oznámenia o dani z finančných transakcií pre Prevádzkovateľa.
2.3 Kategórie dotknutých osôb a údajov: viď Príloha 1.
3. Pokyny Prevádzkovateľa
3.1 Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa. Pokynom sa rozumie aj používanie Služby Prevádzkovateľom a tieto VOP/DPA.
3.2 Ak je Sprostredkovateľ povinný spracúvať údaje na základe práva EÚ alebo SR, informuje o tom Prevádzkovateľa, ak to právo nezakazuje.
3.3 Ak sa Sprostredkovateľ domnieva, že pokyn porušuje GDPR alebo iné predpisy, bezodkladne to oznámi Prevádzkovateľovi.
4. Povinnosti Sprostredkovateľa
4.1 Dôvernosť: Sprostredkovateľ zabezpečí, aby osoby oprávnené spracúvať údaje boli viazané mlčanlivosťou.
4.2 Bezpečnosť (čl. 32 GDPR): Sprostredkovateľ prijme primerané technické a organizačné opatrenia podľa Prílohy 3.
4.3 Pomoc Prevádzkovateľovi: Sprostredkovateľ v primeranom rozsahu pomáha Prevádzkovateľovi pri plnení povinností reagovať na žiadosti dotknutých osôb (čl. 12 až 23 GDPR) a pri plnení povinností podľa čl. 32 až 36 GDPR (bezpečnosť, oznamovanie porušení, posúdenie vplyvu).
4.4 Porušenie ochrany údajov: Sprostredkovateľ bezodkladne, najneskôr však do 48 hodín od zistenia, oznámi Prevádzkovateľovi každé porušenie ochrany osobných údajov a poskytne súčinnosť pri jeho riešení.
4.5 Audit: Sprostredkovateľ sprístupní Prevádzkovateľovi informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR a umožní audit či kontrolu v primeranom rozsahu a po predchádzajúcej dohode, pri zachovaní dôvernosti a bezpečnosti ostatných zákazníkov.
5. Ďalší sprostredkovatelia (sub-procesori)
5.1 Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecný súhlas so zapojením ďalších sprostredkovateľov uvedených v Prílohe 2.
5.2 Sprostredkovateľ uloží ďalším sprostredkovateľom rovnocenné povinnosti ochrany údajov, aké má sám podľa tejto DPA.
5.3 O zamýšľanej zmene v zozname ďalších sprostredkovateľov Sprostredkovateľ informuje Prevádzkovateľa vopred a umožní mu vzniesť námietky.
6. Prenos do tretích krajín
6.1 Prenos do krajín mimo EHP sa uskutoční len pri existencii primeraných záruk podľa GDPR, najmä na základe štandardných zmluvných doložiek (SCC) prijatých Európskou komisiou. Aktuálni sub-procesori a ich umiestnenie sú v Prílohe 2.
7. Vymazanie alebo vrátenie údajov
7.1 Po ukončení poskytovania Služby Sprostredkovateľ podľa voľby Prevádzkovateľa vráti alebo vymaže osobné údaje a existujúce kópie, ak právo EÚ alebo SR nevyžaduje ich ďalšie uchovanie. Lehota a postup sú zosúladené s VOP (čl. 11.4): export je dostupný počas 30 dní po ukončení.
8. Zodpovednosť a záverečné ustanovenia
8.1 Zodpovednosť strán sa riadi GDPR a VOP. Táto DPA má pri rozpore vo veciach spracúvania osobných údajov prednosť pred VOP.
8.2 Táto DPA sa riadi právnym poriadkom Slovenskej republiky.
Príloha 1: Kategórie dotknutých osôb a osobných údajov
Kategórie dotknutých osôb:
- zástupcovia a kontaktné osoby spravovaných subjektov (daňovníkov/klientov Prevádzkovateľa),
- protistrany transakcií uvedené v bankových výpisoch vrátane fyzických osôb,
- používatelia, ktorým Prevádzkovateľ zriadil prístup,
- ďalšie osoby, ktorých údaje Prevádzkovateľ vloží do Služby.
Kategórie osobných údajov:
- identifikačné a kontaktné údaje (meno, e-mail, telefón, funkcia),
- firemné a identifikačné údaje (obchodné meno, adresa, IČO, DIČ, IČ DPH),
- údaje z bankových výpisov a transakcií (čísla účtov IBAN, sumy, dátumy, popisy platieb, názvy protistrán),
- údaje vo výpočtoch a vygenerovaných Oznámeniach,
- prevádzkové údaje (logy, auditný záznam, identifikátory).
Osobitné kategórie údajov (čl. 9 GDPR) sa do Služby nemajú vkladať.
Príloha 2: Zoznam ďalších sprostredkovateľov
| Sprostredkovateľ | Účel | Umiestnenie | Záruka pri prenose |
|---|---|---|---|
| Hetzner Online GmbH | hosting serverovej infraštruktúry | EÚ | v rámci EHP |
| Clerk, Inc. | autentizácia a správa identít používateľov | USA | štandardné zmluvné doložky (SCC) |
| Resend, Inc. | odosielanie transakčných e-mailov | USA | štandardné zmluvné doložky (SCC) |
Úložisko dokumentov a Oznámení (MinIO) prevádzkujeme v rámci vlastnej infraštruktúry na serveroch Hetzner v EÚ.
Príloha 3: Technické a organizačné opatrenia (čl. 32 GDPR)
- Šifrovanie prenosu: všetka komunikácia cez HTTPS/TLS; bezpečnostné HTTP hlavičky (HSTS a ďalšie).
- Izolácia dát: logická izolácia údajov jednotlivých zákazníkov; prevádzkové role bez oprávnení na obchádzanie izolácie.
- Riadenie prístupu: autentizácia spravovaná poskytovateľom identít, riadenie rolí a oprávnení, prístup zamestnancov len v nevyhnutnom rozsahu.
- Auditný záznam: protokolovanie biznis úkonov v Službe pre preukaznosť a bezpečnosť.
- Zálohovanie a obnova: pravidelné šifrované zálohy uložených dát s definovanou retenciou; otestovaná obnova.
- Dostupnosť a monitorovanie: monitorovanie prevádzky a protokolovanie prístupov.
- Riadenie zmien: kontrolovaný proces nasadzovania zmien a aktualizácií.
Opatrenia sa priebežne prehodnocujú a aktualizujú podľa stavu techniky.