GDPR, Obchodní právo
GDPR – Zpracovatelský dodatek + VZOR
Poskytujete služby a předávají vám vaši klienti dokumenty s osobními údaji zaměstnanců nebo jejich obchodních partnerů? Máte uzavřenu zpracovatelskou smlouvu? Je v souladu s GDPR? Nabízíme Vám základní informace, jak zkontrolovat nebo vytvořit zpracovatelskou smlouvu podle GDPR.
Na základě požadavků GDPR na zpracovatelskou smlouvu jsme vytvořili vzorový dokument – zpracovatelský dodatek, který vám nabízíme k dispozici. Každá zpracovatelská smlouva musí být individuální a zahrnovat pouze ty osobní údaje, které pro své klienty zpracováváte, proto je třeba, abyste si vzorový dokument upravili dle následujících instrukcí.
Základem je uvědomit si, za jakým účelem vám klient poskytuje osobní údaje ke zpracování. Takovýto účel je nejčastěji shodný s předmětem služby, kterou svému klientovi poskytujete. Do bodu 1 ve vzorovém dokumentu proto doplňte předmět smlouvy, ke které uzavíráte dodatek o zpracování osobních údajů.
Následně v bodě 2. definujete čí osobní údaje, které jste od svého klienta obdržel, zpracováváte. V tomto bodě je třeba uvažovat velmi široce a zamyslet se, kdo všechno je v poskytovaných dokumentech uveden nebo v nich uveden být může, a takové osoby za pomocí obecných kategorií jako je zaměstnanec, obchodní partner, uchazeč o práci atd., popsat.
V bodě 3. pak uvedete, jaké kategorie osobních údajů zpracováváte. Může se jednat o obecný popis, jako jsou identifikační údaje, údaje vztahující se k mzdovému účetnictví, ale také o popis podrobný, jako je jméno, příjmení, titul, výše mzdy apod. Čím podrobnější budete, tím lépe vyhovíte GDPR. Je třeba mít na paměti, že v případě podrobného popisu nesmíte na žádný z osobních údajů zapomenout.
Bod 4. řeší situaci, kdy ke zpracování osobních údajů sami využíváte další osoby, které sídlí mimo prostor Evropské unie. Je třeba hlavně nezapomenout, že využívání IT systémů nebo cloudových úložišť může být, a zpravidla také je, předáváním osobních údajů. Tyto společnosti jsou často umístěny mimo Evropskou unii. Váš klient vám musí zapojení takové osoby povolit a činí tak právě v tomto bodě. Je dobré takovou společnost jmenovat přímo, pokud je to jen trochu možné.
Zpracovatelská smlouva musí také obsahovat popis technického a organizačního zabezpečení. Je nutné vytvořit přílohu č. 1, která bude takový popis obsahovat. V této příloze byste měli popsat, jak máte zabezpečeny osobní údaje (například v počítačích nebo na serverech) a nezapomenout popsat i nakládání s dokumenty v papírové podobě, tedy kdo k dokumentům má přístup, a jiné procesy, kterými zajišťujete bezpečnost při nakládání s osobními údaji.
Zbývá jen všechny povinnosti ukládané zpracovateli a specifikované v čl. III. a příloze č. 1 vzorového dodatku uvést do praxe a řídit se jimi.
Stále si nevíte rady? Máte nějaké nejasnosti? Neváhejte nás kontaktovat.
