TL;DR

• DPA riešte vždy, keď dodávateľ spracúva osobné údaje vo vašom mene (ako sprostredkovateľ).

• Najprv si ujasnite roly: správca vs sprostredkovateľ.

• DPA musí byť konkrétna: účel, typ údajov, bezpečnosť, subdodávatelia, incidenty, asistencie.

• „Vzor z internetu“ je riziko – treba ho prispôsobiť realite.

Postup krok za krokom

1. Zmapujte dodávateľov, ktorí majú prístup k osobným údajom (hosting, CRM, e‑mailing, účtovník, agentúra).

2. Určte roly: správca alebo sprostredkovateľ.

3. Vyžiadajte DPA alebo dodatok k zmluve.

4. Skontrolujte povinné okruhy bodov (predmet, trvanie, účel, údaje, povinnosti).

5. Riešte subdodávateľov (sub‑processors) a transparentnosť.

6. Dohodnite procesy: DSAR žiadosti, incidenty, audit (primerane). Súvisiace: Právo na výmaz (2026)

Checklist (na vytlačenie)

• [ ] roly: správca/sprostredkovateľ

• [ ] predmet, trvanie, povaha a účel spracúvania

• [ ] typ údajov a kategórie osôb

• [ ] pokyny správcu + mlčanlivosť

• [ ] bezpečnostné opatrenia (aspoň rámcovo)

• [ ] subdodávatelia: pravidlá a transparentnosť

• [ ] asistencie pri právach osôb (prístup, výmaz, oprava)

• [ ] incidenty: kto, ako, kedy informuje

• [ ] ukončenie: vrátenie/vymazanie + potvrdenie

• [ ] primeraný audit/overenie

Najčastejšie chyby

• DPA úplne chýba („veď máme zmluvu o službách“).

• Dokument je generický a nesedí s realitou (iné systémy, iné údaje).

• Nejasné subdodávateľské reťazce (neviete, kde údaje končia).

• Bez procesov: nikto nevie, čo robiť pri žiadosti alebo incidente.

Súvisiace články na eSudca.sk

• GDPR a ochrana údajov – prehľad

• GDPR a e‑shop: cookie banner, GA4, Meta pixel (2026)

Aktualizované k dátumu

Aktualizované k 15.01.2026. Povinné obsahové okruhy DPA vyplývajú z GDPR a musia zodpovedať realite spracúvania.