Zmluva o spracúvaní osobných údajov

Sprostredkovateľská zmluva podľa čl. 28 GDPR

Verzia 1.5 · Platné od: 1. júla 2026

1. Zmluvné strany

Prevádzkovateľ: Farnosť, ktorá je registrovaná a využíva platformu iFarnosť (ďalej len „Prevádzkovateľ").

Sprostredkovateľ:
scavork s. r. o.
Karpatské námestie 7770/10A, 831 06 Bratislava - mestská časť Rača
IČO: 55 661 874
E-mail: info@ifarnost.sk

2. Predmet zmluvy

Sprostredkovateľ spracúva osobné údaje v mene Prevádzkovateľa pri poskytovaní služieb platformy iFarnosť. Táto zmluva upravuje práva a povinnosti zmluvných strán v súlade s článkom 28 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a zákonom č. 18/2018 Z.z. o ochrane osobných údajov.

3. Rozsah spracúvania

Kategória Údaje
Dotknuté osobyFarníci, rodinní príslušníci, darcovia, účastníci udalostí, dobrovoľníci
Identifikačné údajeMeno, priezvisko, dátum narodenia, adresa, e-mail, telefón
Matričné údajeZáznamy o krste, sobáši, pohrebe, birmovaní
Finančné údajeVýška daru, číslo bankového účtu (IBAN), variabilný symbol
Údaje o náboženskom presvedčeníPríslušnosť k farnosti, sviatostné záznamy (osobitná kategória podľa čl. 9 GDPR)
Komunikačné údajeObsah kontaktných formulárov, notifikačné preferencie

4. Účel spracúvania

Sprostredkovateľ spracúva osobné údaje výlučne na účely:

  • Prevádzky a poskytovania služieb platformy iFarnosť
  • Technickej údržby, zálohovania a zabezpečenia dát
  • Poskytovania technickej podpory Prevádzkovateľovi

Sprostredkovateľ nesmie spracúvať osobné údaje na vlastné účely.

5. Právny základ pre osobitné kategórie údajov

Údaje o náboženskom presvedčení sú osobitnou kategóriou osobných údajov podľa čl. 9 GDPR. Ich spracúvanie je oprávnené na základe čl. 9 ods. 2 písm. d) GDPR — spracúvanie v rámci oprávnenej činnosti náboženského združenia za predpokladu, že sa údaje neposkytujú mimo tohto združenia bez súhlasu dotknutých osôb.

6. Povinnosti Sprostredkovateľa

  • Pokyny Prevádzkovateľa. Spracúvať osobné údaje len na základe zdokumentovaných pokynov Prevádzkovateľa. Pokyny sú obsiahnuté v tejto Zmluve, dokumentácii platformy a výslovných e-mailových pokynoch zaslaných na info@ifarnost.sk. Ak Sprostredkovateľ usúdi, že pokyn porušuje GDPR alebo iné predpisy, bezodkladne to oznámi Prevádzkovateľovi (čl. 28 ods. 3 druhá veta GDPR).
  • Mlčanlivosť. Zabezpečiť, aby osoby oprávnené spracúvať osobné údaje boli zaviazané mlčanlivosťou alebo viazané zákonnou povinnosťou mlčanlivosti.
  • Bezpečnosť (čl. 32 GDPR). Prijať primerané technické a organizačné opatrenia — viď čl. 8.
  • Sub-sprostredkovatelia. Využívať len schválených sub-sprostredkovateľov uvedených v čl. 7.
  • Pomoc pri právach dotknutých osôb. Pomáhať Prevádzkovateľovi pri plnení povinností voči dotknutým osobám (čl. 12-22 GDPR) — prostredníctvom administračných nástrojov platformy alebo na vyžiadanie.
  • Oznamovanie incidentov (čl. 33 GDPR). Oznamovať Prevádzkovateľovi bezpečnostné incidenty bez zbytočného odkladu, najneskôr do 48 hodín od ich zistenia. Oznámenie obsahuje: opis povahy incidentu, kategórie a približný počet dotknutých osôb a záznamov, meno a kontakt zodpovednej osoby, pravdepodobné dôsledky a prijaté/navrhované opatrenia.
  • Posúdenie vplyvu (DPIA). Pomáhať Prevádzkovateľovi pri posúdení vplyvu na ochranu údajov a pri konzultácii s ÚOOÚ (čl. 35-36 GDPR).
  • Vrátenie/výmaz po skončení. Po ukončení zmluvy podľa voľby Prevádzkovateľa vymazať alebo vrátiť všetky osobné údaje — viď čl. 9.
  • Doloženie plnenia. Sprístupniť Prevádzkovateľovi informácie potrebné na preukázanie plnenia povinností a umožniť audity podľa čl. 10.

7. Sub-sprostredkovatelia

Prevádzkovateľ udeľuje Sprostredkovateľovi všeobecný písomný súhlas s využitím nasledujúcich sub-sprostredkovateľov:

Služba Poskytovateľ Účel Umiestnenie
Hosting (PaaS)Laravel Cloud (Laravel LLC) – AWSAplikačný server, MySQL, RedisEÚ (Frankfurt, eu-central-1); poskytovateľ Laravel LLC, USA — SCC + EU-U.S. DPF
Objektové úložiskoCloudflare R2 (Cloudflare, Inc.)Prílohy, fotografie, dokumenty, zálohyEÚ + USA (SCC, EU-U.S. DPF)
Platobná bránaComgate a.s. (IČO 27924505)Spracovanie platieb kartouČR / EÚ
FakturáciaSuperFaktura, s. r. o.Vystavovanie a archív faktúrSR / EÚ
Transakčný e-mailResend, Inc. (USA) alebo SMTP poskytovateľ v SR/EÚ (napr. WebSupport, s. r. o.)Doručovanie systémových e-mailovEÚ alebo USA (SCC + EU-U.S. DPF)
Monitoring a APMLaravel Nightwatch (Laravel LLC)Telemetria chýb a výkonu aplikácie (stack trace, trvanie requestov, pomalé dotazy); bez osobných údajov farníkov a bez obsahu matríkUSA (SCC + EU-U.S. DPF)
Cookie consent managementCybot A/S (Cookiebot)Správa súhlasov s cookies a banner na verejných stránkachEÚ (Dánsko)
Web analytics (voliteľné, opt-in farnosti)Google Ireland LimitedGoogle Analytics 4 / Google Tag Manager — len ak farnosť ako prevádzkovateľ vlastného webu túto integráciu výslovne aktivuje a získa súhlas návštevníkaEÚ + USA (SCC, EU-U.S. DPF)
Webové fonty (CDN)BunnyWay d.o.o. (Bunny Fonts)Doručovanie typografie; prenos len IP adresy nevyhnutnej na doručenie fontu, bez logovaniaSlovinsko / EÚ
Mapové podklady (voliteľné, po kliknutí)OpenStreetMap FoundationMapové dlaždice polohy farnosti — načítané až po výslovnom kliknutí návštevníkaSpojené kráľovstvo

SCC = Štandardné zmluvné doložky Európskej komisie 2021/914 (Modul 2 Controller-to-Processor, resp. Modul 3 Processor-to-Processor). Pre prenosy do USA bolo vykonané posúdenie vplyvu prenosu (TIA) podľa odporúčania EDPB 01/2020 vrátane doplnkových opatrení (minimalizácia dát, šifrovanie pri prenose, pseudonymizácia).

Sprostredkovateľ informuje Prevádzkovateľa o pridaní/výmene sub-sprostredkovateľa najmenej 30 dní vopred e-mailom alebo aktualizáciou tejto Zmluvy. Prevádzkovateľ má počas tejto lehoty právo namietať z odôvodnených dôvodov ochrany osobných údajov; v prípade nezhody má právo zmluvu vypovedať bez sankcie.

8. Bezpečnostné opatrenia

  • Šifrovanie dát pri prenose (TLS 1.2+) a v pokoji (AES-256 pre zálohy)
  • Prístup na základe rolí (RBAC) s princípom najmenších oprávnení
  • Viacfaktorová autentifikácia (MFA) pre administrátorov platformy
  • Pravidelné zálohovanie dát
  • Audit log všetkých operácií s osobnými údajmi
  • Automatické uzamykanie po nečinnosti
  • Content Security Policy (CSP) hlavičky
  • Hashované heslá (bcrypt, 12 kôl)

9. Doba spracúvania a vrátenie/výmaz po skončení (čl. 28 ods. 3 písm. g)

  • Osobné údaje sa spracúvajú po celú dobu trvania zmluvy medzi Prevádzkovateľom a Sprostredkovateľom.
  • Po ukončení zmluvy podľa voľby Prevádzkovateľa:
    • (a) Sprostredkovateľ vráti všetky osobné údaje v štruktúrovanom strojovo čitateľnom formáte (JSON / CSV / SQL dump) do 30 dní, alebo
    • (b) Sprostredkovateľ ich trvalo vymaže vrátane záloh do 90 dní.
  • Sprostredkovateľ vydá Prevádzkovateľovi písomné potvrdenie o vykonaní výmazu.
  • Výnimkou sú údaje, ktoré je Sprostredkovateľ povinný uchovávať podľa platných predpisov (faktúry — 10 rokov podľa zákona č. 431/2002 Z. z. o účtovníctve).

10. Audit a kontroly (čl. 28 ods. 3 písm. h)

  • Sprostredkovateľ poskytne Prevádzkovateľovi všetky informácie potrebné na preukázanie plnenia povinností podľa čl. 28 GDPR.
  • Sprostredkovateľ umožní (resp. prispeje k) audity vrátane inšpekcií vykonaných Prevádzkovateľom alebo iným audítorom povereným Prevádzkovateľom, najviac 1× ročne, na základe predchádzajúceho oznámenia minimálne 30 dní vopred.
  • Náklady auditu znáša Prevádzkovateľ. Ak audit zistí závažné porušenie povinností Sprostredkovateľa, náklady znáša Sprostredkovateľ.
  • Sprostredkovateľ na vyžiadanie poskytne výstupy externých auditov (napr. SOC 2, ISO 27001 svojich sub-sprostredkovateľov), pokiaľ nahrádzajú vlastný audit Prevádzkovateľa.

11. Zodpovednosť a regres

  • Ak Úrad na ochranu osobných údajov SR alebo dotknutá osoba uloží sankciu alebo náhradu škody jednej zmluvnej strane v dôsledku porušenia povinností druhou stranou, postihnutá strana má právo na regres.
  • Limit zodpovednosti Sprostredkovateľa za porušenie tejto Zmluvy: výška ročného poplatku za predplatné, okrem prípadov hrubej nedbanlivosti alebo úmyslu, kde sa limit neuplatňuje.

12. Práva dotknutých osôb

Sprostredkovateľ pomáha Prevádzkovateľovi zabezpečiť nasledujúce práva dotknutých osôb:

  • Právo na prístup (čl. 15 GDPR) — prístup k údajom cez admin panel
  • Právo na opravu (čl. 16 GDPR) — editácia záznamov
  • Právo na vymazanie (čl. 17 GDPR) — soft-delete a trvalé vymazanie
  • Právo na prenosnosť (čl. 20 GDPR) — export dát
  • Právo namietať (čl. 21 GDPR) — prostredníctvom Prevádzkovateľa

13. Záverečné ustanovenia

  • Táto zmluva je neoddeliteľnou súčasťou VOP platformy iFarnosť.
  • Registráciou na platforme Prevádzkovateľ potvrdzuje, že sa oboznámil s touto zmluvou a súhlasí s ňou.
  • Zmluva sa riadi právnym poriadkom Slovenskej republiky.
  • Dozorným orgánom je Úrad na ochranu osobných údajov SR, Hraničná 12, 820 07 Bratislava, dataprotection.gov.sk.

Podpora iFarnosť

Online

Ahoj! Ako vám môžeme pomôcť?