ClinicSpotClinicSpotPrávne dokumenty
Pracovná verzia (draft). Tento dokument je predloha a pred zverejnením ho musí schváliť právnik. Text slúži ako kostra obsahu.

Sprostredkovateľská zmluva (DPA)

Verzia 2026-06 · Účinné od 01.06.2026

Úvod

Táto zmluva o spracúvaní osobných údajov (Data Processing Agreement, ďalej „DPA") sa uzatvára podľa čl. 28 GDPR medzi klinikou ako prevádzkovateľom (ďalej „Prevádzkovateľ") a ClinicSpot ako sprostredkovateľom (ďalej „Sprostredkovateľ"). Tvorí neoddeliteľnú súčasť hlavnej zmluvy (VOP).

1. Predmet a povaha spracúvania

Sprostredkovateľ spracúva osobné údaje výlučne v rozsahu potrebnom na poskytovanie služby ClinicSpot a na základe zdokumentovaných pokynov Prevádzkovateľa.

2. Kategórie dotknutých osôb a údajov

  • Dotknuté osoby: zamestnanci a používatelia kliniky.
  • Kategórie údajov: identifikačné a kontaktné údaje, prihlasovacie údaje, dochádzkové a prevádzkové údaje (napr. evidencia spotreby podľa používateľa).
  • Osobitné kategórie (čl. 9 GDPR): nespracúvajú sa.

3. Povinnosti Sprostredkovateľa

  • Spracúvať údaje len podľa pokynov Prevádzkovateľa.
  • Zaviazať oprávnené osoby mlčanlivosťou.
  • Prijať primerané technické a organizačné opatrenia (čl. 32).
  • Pomáhať Prevádzkovateľovi pri plnení žiadostí dotknutých osôb a pri ohlasovaní porušení ochrany údajov.
  • Sprístupniť informácie potrebné na preukázanie súladu a umožniť audit.

4. Zodpovednosť Prevádzkovateľa (kliniky)

Prevádzkovateľ zodpovedá za zákonný právny základ spracúvania údajov svojich zamestnancov a za splnenie informačnej povinnosti voči nim – najmä pri evidencii dochádzky a monitorovaní výkonu práce.

5. Ďalší sprostredkovatelia (sub-processori)

Prevádzkovateľ udeľuje všeobecný súhlas s využitím ďalších sprostredkovateľov, ktorí spracúvajú údaje v mene Sprostredkovateľa na účel prevádzky služby:

  • Vercel Inc. – hosting a prevádzka aplikácie.
  • Supabase – databáza a úložisko dát.
  • Resend – odosielanie systémových a transakčných e-mailov.
  • OpenAI – automatické rozpoznávanie údajov z faktúr a dokladov a súvisiace AI funkcie.
  • CookieYes – správa súhlasu s cookies.

O zamýšľanej zmene v zozname sub-processorov (zapojenie nového alebo nahradenie doterajšieho) bude Prevádzkovateľ informovaný vopred, spravidla aspoň 14 dní pred jej účinnosťou. V tejto 14-dňovej lehote môže Prevádzkovateľ voči zmene z vážnych dôvodov týkajúcich sa ochrany osobných údajov písomne namietať. Ak námietku v lehote nevznesie, považuje sa zmena za odsúhlasenú.

Ak Prevádzkovateľ námietku vznesie, strany sa v dobrej viere pokúsia nájsť riešenie. Ak ho nedosiahnu, je ktorákoľvek zo strán oprávnená ukončiť dotknutú časť služby alebo zmluvu; do vyriešenia námietky Sprostredkovateľ nového sub-processora na spracúvanie údajov Prevádzkovateľa nezapojí.

6. Prenosy mimo EÚ/EHP

Spracúvanie prebieha v rámci EÚ/EHP. Prípadné prenosy do tretích krajín sa uskutočnia len s primeranými zárukami podľa GDPR.

7. Vymazanie a vrátenie údajov

Po ukončení poskytovania služby Sprostredkovateľ na pokyn Prevádzkovateľa údaje vráti (export) alebo vymaže, okrem prípadov, keď uchovávanie vyžaduje právo. Lehota na export: [30] dní.

8. Záverečné ustanovenia

DPA sa riadi právom Slovenskej republiky a platí počas trvania hlavnej zmluvy. Akceptáciou alebo podpisom oprávneného zástupcu kliniky nadobúda účinnosť.

Podpis / akceptácia: [meno, funkcia, dátum].

ClinicSpot · Smart clinic management · Všetky právne dokumenty