← Späť na hlavnú stránku

Zmluva o spracúvaní osobných údajov

ASK Portál · Účinné od 2. 6. 2026 · Verzia 1.1

Zmluva o spracúvaní osobných údajov (Data Processing Agreement — DPA)

ASK Portál · Účinné od 2. 6. 2026 · Verzia 1.1

Táto Zmluva o spracúvaní osobných údajov (ďalej len „Zmluva" alebo „DPA") sa uzatvára medzi:

Prevádzkovateľom: Klient ASK Portálu — fyzická osoba–podnikateľ alebo právnická osoba, ktorá si od Sprostredkovateľa prenajíma prístup k ASK Portálu a vkladá doň osobné údaje svojich koncových klientov (ďalej len „Prevádzkovateľ")

a

Sprostredkovateľom: 4x4 s.r.o., so sídlom Melek 148, 952 01 Melek, Slovenská republika, IČO: 52 057 623, zapísaná v Obchodnom registri Okresného súdu Nitra, v mene ktorej koná konateľ Andrej Sobota (ďalej len „Sprostredkovateľ")

(Prevádzkovateľ a Sprostredkovateľ ďalej spoločne aj „Strany" a jednotlivo „Strana")

I. Účel a predmet Zmluvy

Článok 1 — Účel

1.1 Táto Zmluva upravuje vzájomné práva a povinnosti strán v súvislosti so spracúvaním osobných údajov koncových klientov Prevádzkovateľa (ďalej len „Osobné údaje") prostredníctvom ASK Portálu a zabezpečuje súlad s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) — najmä s jeho článkom 28.

Článok 2 — Predmet spracúvania

2.1 Sprostredkovateľ spracúva Osobné údaje výlučne v mene a na základe pokynov Prevádzkovateľa, v rozsahu a za podmienok uvedených v tejto Zmluve a v Prílohe č. 1.

2.2 Kategórie dotknutých osôb, kategórie osobných údajov, povaha a účel spracúvania a doba spracúvania sú špecifikované v Prílohe č. 1.

2.3 Prevádzkovateľ berie na vedomie, že ASK Portál nie je určený na spracúvanie osobitných kategórií osobných údajov podľa čl. 9 GDPR, ani rodných čísiel či údajov o trestnej činnosti podľa čl. 10 GDPR.

II. Pokyny a povinnosti strán

Článok 3 — Pokyny Prevádzkovateľa

3.1 Sprostredkovateľ spracúva Osobné údaje výlučne na základe zdokumentovaných pokynov Prevádzkovateľa — vrátane pokynov týkajúcich sa prenosov do tretích krajín — pokiaľ mu spracúvanie neukladá právo EÚ alebo právo členského štátu; v takom prípade Sprostredkovateľ Prevádzkovateľa o tejto požiadavke informuje pred spracúvaním, ak to príslušné právo nezakazuje.

3.2 Tieto VOP, Cenník a nastavenia ASK Portálu zvolené Prevádzkovateľom sa považujú za zdokumentované pokyny na účely čl. 28 ods. 3 písm. a) GDPR.

3.3 Ak Sprostredkovateľ nadobudne presvedčenie, že pokyn Prevádzkovateľa odporuje GDPR, informuje o tom Prevádzkovateľa.

Článok 4 — Povinnosti Prevádzkovateľa

4.1 Prevádzkovateľ zodpovedá za zákonnosť spracúvania, plnenie informačnej povinnosti voči dotknutým osobám a získanie platného právneho základu.

4.2 Prevádzkovateľ do ASK Portálu nevkladá osobitné kategórie osobných údajov podľa čl. 9 GDPR, ani rodné čísla, skeny dokladov, údaje o zdravotnom stave či údaje o trestnej činnosti.

4.3 Prevádzkovateľ informuje svojich koncových klientov o tom, že ich údaje sú spracúvané prostredníctvom ASK Portálu.

Článok 5 — Povinnosti Sprostredkovateľa

5.1 Sprostredkovateľ spracúva Osobné údaje len na základe a v rozsahu pokynov Prevádzkovateľa.

5.2 Sprostredkovateľ zabezpečí, že osoby oprávnené spracúvať Osobné údaje sa zaviazali k mlčanlivosti.

5.3 Sprostredkovateľ prijme primerané technické a organizačné opatrenia podľa čl. 32 GDPR na zabezpečenie bezpečnosti spracúvania — tieto opatrenia sú uvedené v Prílohe č. 3.

5.4 Sprostredkovateľ je povinný podľa povahy spracúvania, v čo najvyššej miere, pomáhať Prevádzkovateľovi pri plnení jeho povinností vo vzťahu k právam dotknutých osôb.

5.5 Sprostredkovateľ je povinný pomáhať Prevádzkovateľovi pri zabezpečení plnenia povinností podľa čl. 32 – 36 GDPR.

III. Sub-spracovateľ a bezpečnostné opatrenia

Článok 6 — Mlčanlivosť

6.1 Sprostredkovateľ zabezpečí, že všetky fyzické osoby, ktoré majú prístup k Osobným údajom, sú viazané povinnosťou mlčanlivosti.

Článok 7 — Bezpečnostné opatrenia

7.1 Sprostredkovateľ implementuje a udržiava primerané technické a organizačné opatrenia na zabezpečenie bezpečnosti spracúvania v súlade s čl. 32 GDPR. Konkrétne opatrenia sú uvedené v Prílohe č. 3.

7.2 Sprostredkovateľ pravidelne preveruje účinnosť opatrení a prispôsobuje ich vývoju bezpečnostných rizík a technickému pokroku.

Článok 8 — Bezpečnostné incidenty

8.1 Sprostredkovateľ bez zbytočného odkladu — najneskôr do 48 hodín od zistenia — oznámi Prevádzkovateľovi akékoľvek porušenie ochrany Osobných údajov (Bezpečnostný incident).

8.2 Oznámenie musí obsahovať minimálne:

8.3 Sprostredkovateľ vynaloží primerané úsilie na obmedzenie následkov Bezpečnostného incidentu a zdokumentuje všetky súvisiace skutočnosti.

Článok 9 — Sub-spracovateľ

9.1 Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecné písomné poverenie na zapojenie sub-spracovateľov podľa čl. 28 ods. 2 GDPR.

9.2 Aktuálny zoznam kategórií sub-spracovateľov je uvedený v Prílohe č. 2.

9.3 Konkrétna identita (menovitý zoznam) sub-spracovateľov v rámci kategórií podľa Prílohy č. 2 predstavuje predmet obchodného know-how a obchodné tajomstvo Sprostredkovateľa podľa § 17 Obchodného zákonníka a nesprístupňuje sa Prevádzkovateľovi (ani verejnosti).

9.4 Sprostredkovateľ zabezpečí, že sub-spracovateľom je prostredníctvom zmluvy uložený minimálne rovnaký rozsah povinností ochrany Osobných údajov ako v tejto Zmluve.

9.5 Sprostredkovateľ zodpovedá Prevádzkovateľovi za plnenie povinností svojich sub-spracovateľov.

9.6 V prípade zmeny alebo pridania sub-spracovateľa v rámci existujúcej kategórie Sprostredkovateľ nie je povinný Prevádzkovateľa informovať, za predpokladu, že nový sub-spracovateľ plní podmienky podľa bodu 9.4.

9.7 V prípade pridania novej kategórie sub-spracovateľa Sprostredkovateľ informuje Prevádzkovateľa 30 dní vopred prostredníctvom e-mailu alebo notifikácie v ASK Portáli. Prevádzkovateľ môže namietať v lehote 30 dní; ak nenamietne, považuje sa to za súhlas.

IV. Práva dotknutých osôb, audit, prenos, výmaz

Článok 10 — Práva dotknutých osôb

10.1 Sprostredkovateľ podľa povahy spracúvania pomáha Prevádzkovateľovi pri plnení povinností pri vybavovaní žiadostí dotknutých osôb.

10.2 Ak sa dotknutá osoba so žiadosťou podľa čl. 15 – 22 GDPR obráti priamo na Sprostredkovateľa, Sprostredkovateľ ju bezodkladne presmeruje na Prevádzkovateľa.

Článok 11 — Pomoc pri povinnostiach

11.1 Sprostredkovateľ pomáha Prevádzkovateľovi pri zabezpečení súladu s čl. 32 – 36 GDPR.

Článok 12 — Audit

12.1 Sprostredkovateľ sprístupní Prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností podľa čl. 28 GDPR.

12.2 Prevádzkovateľ alebo ním poverený audítor je oprávnený vykonať audit v rozsahu povinností podľa čl. 28 GDPR, za nasledovných podmienok:

  1. písomné oznámenie minimálne 30 dní vopred;
  2. dodržanie povinnosti mlčanlivosti — audítor musí podpísať NDA;
  3. dôvodná frekvencia (maximálne raz za 12 mesiacov, pokiaľ osobitné okolnosti nevyžadujú skôr);
  4. primeraný rozsah — audit sa nesmie zamerať na obchodné tajomstvo Sprostredkovateľa.

12.3 Náklady auditu znáša Prevádzkovateľ.

12.4 Sprostredkovateľ je oprávnený odmietnuť audítora, ktorý je jeho priamym konkurentom.

Článok 13 — Cezhraničný prenos

13.1 Sprostredkovateľ zabezpečí, aby sa cezhraničný prenos Osobných údajov uskutočňoval len so zabezpečením primeraných záruk podľa kapitoly V GDPR — rozhodnutie o primeranosti (EÚ-US Data Privacy Framework), Štandardné zmluvné doložky (SCC) podľa vykonávacieho rozhodnutia Komisie 2021/914.

Článok 14 — Vrátenie a výmaz údajov

14.1 Po skončení poskytovania Služby Sprostredkovateľ na žiadosť Prevádzkovateľa vymaže alebo vráti Osobné údaje (aj ich kópie), pokiaľ právo EÚ alebo SR neukladá ich ďalšie uchovávanie.

14.2 Prevádzkovateľ môže požiadať o export údajov prostredníctvom funkcie v ASK Portáli, ak je dostupná, alebo e-mailovou žiadosťou.

14.3 Sprostredkovateľ si ponechá lehotu 30 dní od skončenia zmluvy na dokončenie výmazu vrátane záloh.

Článok 15 — Posúdenie vplyvu

15.1 Ak Prevádzkovateľ vykonáva posúdenie vplyvu na ochranu údajov (DPIA) v zmysle čl. 35 GDPR, Sprostredkovateľ mu poskytne primerané informácie o technickej a organizačnej povahe spracúvania.

Článok 16 — Zástupca v EÚ

16.1 Sprostredkovateľ má sídlo v EÚ, preto nie je povinný vymenovať zástupcu podľa čl. 27 GDPR.

Článok 17 — Záznamy o činnostiach spracúvania

17.1 Sprostredkovateľ vedie záznamy o činnostiach spracúvania podľa čl. 30 ods. 2 GDPR.

Článok 18 — Indemnifikácia

18.1 Prevádzkovateľ sa zaväzuje odškodniť Sprostredkovateľa za akékoľvek pokuty, sankcie, náhrady škody, súdne výdavky a iné preukázateľné výdavky, ktoré Sprostredkovateľovi vzniknú v dôsledku:

  1. porušenia povinností Prevádzkovateľa podľa tejto Zmluvy alebo GDPR;
  2. nezákonných alebo neoprávnených pokynov Prevádzkovateľa;
  3. porušenia vyhlásení a záruk Prevádzkovateľa podľa VOP;
  4. nárokov dotknutých osôb, ak škoda vznikla z konania Prevádzkovateľa.

Článok 19 — Informačné memorandum

19.1 Sprostredkovateľ poskytne Prevádzkovateľovi vzorový text Informačného memoranda, ktorý môže Prevádzkovateľ použiť alebo upraviť pri plnení svojej informačnej povinnosti voči koncovým klientom.

19.2 Za obsah, úplnosť a aktuálnosť informačného oznámenia, ktoré Prevádzkovateľ reálne poskytne dotknutým osobám, zodpovedá výlučne Prevádzkovateľ.

V. Zodpovednosť a trvanie

Článok 20 — Zodpovednosť strán

20.1 Každá zo strán zodpovedá za škodu spôsobenú porušením vlastných povinností podľa tejto Zmluvy a GDPR.

20.2 Celková zodpovednosť Sprostredkovateľa voči Prevádzkovateľovi z tejto Zmluvy je obmedzená na trojnásobok mesačného poplatku.

20.3 Strany berú na vedomie, že podľa čl. 82 ods. 2 GDPR Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním len v rozsahu vlastných povinností.

20.4 Limit zodpovednosti sa nevzťahuje na nároky z indemnifikácie podľa čl. 18.

Článok 21 — Trvanie a ukončenie Zmluvy

21.1 Zmluva nadobúda účinnosť momentom akceptácie a trvá po dobu trvania zmluvy o ASK Portáli.

21.2 Povinnosti mlčanlivosti, vrátenia/výmazu údajov a indemnifikácie zostávajú aj po ukončení.

Článok 22 — Zmeny Zmluvy

22.1 Sprostredkovateľ môže meniť Zmluvu jednostranne ak to vyžaduje zmena predpisov/infraštruktúry, s 30-dňovým predstihom.

22.2 Prevádzkovateľ môže v lehote 30 dní vypovedať zmluvu ak nesúhlasí.

Článok 23 — Záverečné ustanovenia

23.1 Zmluva sa riadi slovenským právom.

23.2 Spory riešia slovenské súdy podľa sídla Sprostredkovateľa.

23.3 Neplatnosť časti neovplyvňuje platnosť celku.

23.4 Zmluva sa uzatvára elektronicky v zmysle čl. 28 ods. 9 GDPR.

Príloha č. 1 — Špecifikácia spracúvania

ParameterŠpecifikácia
PredmetSpracúvanie OÚ koncových klientov na účel modelácií v ASK Portáli.
DobaPo dobu trvania zmluvy + 30 dní.
PovahaZber, zaznamenávanie, ukladanie, organizácia, štruktúrovanie, vyhľadávanie, používanie, prenos, obmedzenie, vymazanie.
ÚčelModelácie, PDF výstupy, AI asistencia.
Kategórie dotknutých osôbPotenciálni a existujúci klienti Prevádzkovateľa.

Kategórie údajov

NESPRACÚVAJÚ SA: zdravotný stav, čl. 9 GDPR, rodné číslo, skeny dokladov, údaje o trestnej činnosti, bankové výpisy.

Príloha č. 2 — Sub-spracovateľ

KategóriaÚčelKrajina
DB a hostingÚložisko a hostingUSA/Singapur (SCC + DPF)
AI službyTextové/hlasové AI vstupyEÚ (Švédsko)
Platobná bránaStripe platbyÍrsko/USA (SCC + DPF)

Konkrétna identita sub-spracovateľov je obchodné tajomstvo.

Príloha č. 3 — Technické a organizačné opatrenia

  1. Riadenie prístupu: princíp najmenších oprávnení, centrálny identity provider, povinné 2FA, logovanie
  2. Šifrovanie: AES-256 v pokoji, TLS 1.2+ v prenose, HSM kľúče FIPS 140-2
  3. Segmentácia: per-projekt izolácia, oddelený Control/Data Plane
  4. Záloha: denné, šifrované, oddelené od produkcie, 99.99% dostupnosť
  5. Monitoring: nepretržitý, plán na incidenty, 48h oznámenie
  6. Testovanie: penetračné testy, odstraňovanie zraniteľností
  7. Organizačné: mlčanlivosť, vzdelávanie, pravidelná revízia

Účinné od 2. 6. 2026 · Verzia 1.1