Zmluva o spracúvaní osobných údajov
Sprostredkovateľská zmluva podľa čl. 28 GDPR
Verzia 1.5 · Platné od: 1. júla 2026
1. Zmluvné strany
Prevádzkovateľ: Farnosť, ktorá je registrovaná a využíva platformu iFarnosť (ďalej len „Prevádzkovateľ").
Sprostredkovateľ:
scavork s. r. o.
Karpatské námestie 7770/10A, 831 06 Bratislava - mestská časť Rača
IČO: 55 661 874
E-mail: info@ifarnost.sk
2. Predmet zmluvy
Sprostredkovateľ spracúva osobné údaje v mene Prevádzkovateľa pri poskytovaní služieb platformy iFarnosť. Táto zmluva upravuje práva a povinnosti zmluvných strán v súlade s článkom 28 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z.z. o ochrane osobných údajov.
3. Rozsah spracúvania
| Kategória | Údaje |
|---|---|
| Dotknuté osoby | Farníci, rodinní príslušníci, darcovia, účastníci udalostí, dobrovoľníci |
| Identifikačné údaje | Meno, priezvisko, dátum narodenia, adresa, e-mail, telefón |
| Matričné údaje | Záznamy o krste, sobáši, pohrebe, birmovaní |
| Finančné údaje | Výška daru, číslo bankového účtu (IBAN), variabilný symbol |
| Údaje o náboženskom presvedčení | Príslušnosť k farnosti, sviatostné záznamy (osobitná kategória podľa čl. 9 GDPR) |
| Komunikačné údaje | Obsah kontaktných formulárov, notifikačné preferencie |
4. Účel spracúvania
Sprostredkovateľ spracúva osobné údaje výlučne na účely:
- Prevádzky a poskytovania služieb platformy iFarnosť
- Technickej údržby, zálohovania a zabezpečenia dát
- Poskytovania technickej podpory Prevádzkovateľovi
Sprostredkovateľ nesmie spracúvať osobné údaje na vlastné účely.
5. Právny základ pre osobitné kategórie údajov
Údaje o náboženskom presvedčení sú osobitnou kategóriou osobných údajov podľa čl. 9 GDPR. Ich spracúvanie je oprávnené na základe čl. 9 ods. 2 písm. d) GDPR — spracúvanie v rámci oprávnenej činnosti náboženského združenia za predpokladu, že sa údaje neposkytujú mimo tohto združenia bez súhlasu dotknutých osôb.
6. Povinnosti Sprostredkovateľa
- Pokyny Prevádzkovateľa. Spracúvať osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa. Pokyny sú obsiahnuté v tejto Zmluve, dokumentácii platformy a výslovných e-mailových pokynoch zaslaných na info@ifarnost.sk. Ak Sprostredkovateľ usúdi, že pokyn porušuje GDPR alebo iné predpisy, bezodkladne to oznámi Prevádzkovateľovi (čl. 28 ods. 3 druhá veta GDPR).
- Mlčanlivosť. Zabezpečiť, aby osoby oprávnené spracúvať osobné údaje boli zaviazané mlčanlivosťou alebo viazané zákonnou povinnosťou mlčanlivosti.
- Bezpečnosť (čl. 32 GDPR). Prijať primerané technické a organizačné opatrenia — viď čl. 8.
- Sub-sprostredkovatelia. Využívať len schválených sub-sprostredkovateľov uvedených v čl. 7.
- Pomoc pri právach dotknutých osôb. Pomáhať Prevádzkovateľovi pri plnení povinností voči dotknutým osobám (čl. 12-22 GDPR) — prostredníctvom administračných nástrojov platformy alebo na vyžiadanie.
- Oznamovanie incidentov (čl. 33 GDPR). Oznamovať Prevádzkovateľovi bezpečnostné incidenty bez zbytočného odkladu, najneskôr do 48 hodín od ich zistenia. Oznámenie obsahuje: opis povahy incidentu, kategórie a približný počet dotknutých osôb a záznamov, meno a kontakt zodpovednej osoby, pravdepodobné dôsledky a prijaté/navrhované opatrenia.
- Posúdenie vplyvu (DPIA). Pomáhať Prevádzkovateľovi pri posúdení vplyvu na ochranu údajov a pri konzultácii s ÚOOÚ (čl. 35-36 GDPR).
- Vrátenie/výmaz po skončení. Po ukončení zmluvy podľa voľby Prevádzkovateľa vymazať alebo vrátiť všetky osobné údaje — viď čl. 9.
- Doloženie plnenia. Sprístupniť Prevádzkovateľovi informácie potrebné na preukázanie plnenia povinností a umožniť audity podľa čl. 10.
7. Sub-sprostredkovatelia
Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecný písomný súhlas s využitím nasledujúcich sub-sprostredkovateľov:
| Služba | Poskytovateľ | Účel | Umiestnenie |
|---|---|---|---|
| Hosting (PaaS) | Laravel Cloud (Laravel LLC) – AWS | Aplikačný server, MySQL, Redis | EÚ (Frankfurt, eu-central-1); poskytovateľ Laravel LLC, USA — SCC + EU-U.S. DPF |
| Objektové úložisko | Cloudflare R2 (Cloudflare, Inc.) | Prílohy, fotografie, dokumenty, zálohy | EÚ + USA (SCC, EU-U.S. DPF) |
| Platobná brána | Comgate a.s. (IČO 27924505) | Spracovanie platieb kartou | ČR / EÚ |
| Fakturácia | SuperFaktura, s. r. o. | Vystavovanie a archív faktúr | SR / EÚ |
| Transakčný e-mail | Resend, Inc. (USA) alebo SMTP poskytovateľ v SR/EÚ (napr. WebSupport, s. r. o.) | Doručovanie systémových e-mailov | EÚ alebo USA (SCC + EU-U.S. DPF) |
| Monitoring a APM | Laravel Nightwatch (Laravel LLC) | Telemetria chýb a výkonu aplikácie (stack trace, trvanie requestov, pomalé dotazy); bez osobných údajov farníkov a bez obsahu matrík | USA (SCC + EU-U.S. DPF) |
| Cookie consent management | Cybot A/S (Cookiebot) | Správa súhlasov s cookies a banner na verejných stránkach | EÚ (Dánsko) |
| Web analytics (voliteľné, opt-in farnosti) | Google Ireland Limited | Google Analytics 4 / Google Tag Manager — len ak farnosť ako prevádzkovateľ vlastného webu túto integráciu výslovne aktivuje a získa súhlas návštevníka | EÚ + USA (SCC, EU-U.S. DPF) |
| Webové fonty (CDN) | BunnyWay d.o.o. (Bunny Fonts) | Doručovanie typografie; prenos len IP adresy nevyhnutnej na doručenie fontu, bez logovania | Slovinsko / EÚ |
| Mapové podklady (voliteľné, po kliknutí) | OpenStreetMap Foundation | Mapové dlaždice polohy farnosti — načítané až po výslovnom kliknutí návštevníka | Spojené kráľovstvo |
SCC = Štandardné zmluvné doložky Európskej komisie 2021/914 (Modul 2 Controller-to-Processor, resp. Modul 3 Processor-to-Processor). Pre prenosy do USA bolo vykonané posúdenie vplyvu prenosu (TIA) podľa odporúčania EDPB 01/2020 vrátane doplnkových opatrení (minimalizácia dát, šifrovanie pri prenose, pseudonymizácia).
Sprostredkovateľ informuje Prevádzkovateľa o pridaní/výmene sub-sprostredkovateľa najmenej 30 dní vopred e-mailom alebo aktualizáciou tejto Zmluvy. Prevádzkovateľ má počas tejto lehoty právo namietať z odôvodnených dôvodov ochrany osobných údajov; v prípade nezhody má právo zmluvu vypovedať bez sankcie.
8. Bezpečnostné opatrenia
- Šifrovanie dát pri prenose (TLS 1.2+) a v pokoji (AES-256 pre zálohy)
- Prístup na základe rolí (RBAC) s princípom najmenších oprávnení
- Viacfaktorová autentifikácia (MFA) pre administrátorov platformy
- Pravidelné zálohovanie dát
- Audit log všetkých operácií s osobnými údajmi
- Automatické uzamykanie po nečinnosti
- Content Security Policy (CSP) hlavičky
- Hashované heslá (bcrypt, 12 kôl)
9. Doba spracúvania a vrátenie/výmaz po skončení (čl. 28 ods. 3 písm. g)
- Osobné údaje sa spracúvajú po celú dobu trvania zmluvy medzi Prevádzkovateľom a Sprostredkovateľom.
- Po ukončení zmluvy podľa voľby Prevádzkovateľa:
- (a) Sprostredkovateľ vráti všetky osobné údaje v štruktúrovanom strojovo čitateľnom formáte (JSON / CSV / SQL dump) do 30 dní, alebo
- (b) Sprostredkovateľ ich trvalo vymaže vrátane záloh do 90 dní.
- Sprostredkovateľ vydá Prevádzkovateľovi písomné potvrdenie o vykonaní výmazu.
- Výnimkou sú údaje, ktoré je Sprostredkovateľ povinný uchovávať podľa platných predpisov (faktúry — 10 rokov podľa zákona č. 431/2002 Z. z. o účtovníctve).
10. Audit a kontroly (čl. 28 ods. 3 písm. h)
- Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR.
- Sprostredkovateľ umožní (resp. prispeje k) audity vrátane inšpekcií vykonaných Prevádzkovateľom alebo iným audítorom povereným Prevádzkovateľom, najviac 1× ročne, na základe predchádzajúceho oznámenia minimálne 30 dní vopred.
- Náklady auditu znáša Prevádzkovateľ. Ak audit zistí závažné porušenie povinností Sprostredkovateľa, náklady znáša Sprostredkovateľ.
- Sprostredkovateľ na vyžiadanie poskytne výstupy externých auditov (napr. SOC 2, ISO 27001 svojich sub-sprostredkovateľov), pokiaľ nahrádzajú vlastný audit Prevádzkovateľa.
11. Zodpovednosť a regres
- Ak Úrad na ochranu osobných údajov SR alebo dotknutá osoba uloží sankciu alebo náhradu škody jednej zmluvnej strane v dôsledku porušenia povinností druhou stranou, postihnutá strana má právo na regres.
- Limit zodpovednosti Sprostredkovateľa za porušenie tejto Zmluvy: výška ročného poplatku za predplatné, okrem prípadov hrubej nedbanlivosti alebo úmyslu, kde sa limit neuplatňuje.
12. Práva dotknutých osôb
Sprostredkovateľ pomáha Prevádzkovateľovi zabezpečiť nasledujúce práva dotknutých osôb:
- Právo na prístup (čl. 15 GDPR) — prístup k údajom cez admin panel
- Právo na opravu (čl. 16 GDPR) — editácia záznamov
- Právo na vymazanie (čl. 17 GDPR) — soft-delete a trvalé vymazanie
- Právo na prenosnosť (čl. 20 GDPR) — export dát
- Právo namietať (čl. 21 GDPR) — prostredníctvom Prevádzkovateľa
13. Záverečné ustanovenia
- Táto zmluva je neoddeliteľnou súčasťou VOP platformy iFarnosť.
- Registráciou na platforme Prevádzkovateľ potvrdzuje, že sa oboznámil s touto zmluvou a súhlasí s ňou.
- Zmluva sa riadi právnym poriadkom Slovenskej republiky.
- Dozorným orgánom je Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava, dataprotection.gov.sk.