4. díl: GDPR a smlouvy – co je třeba upravit?
S příchodem GDPR je potřeba nejen upravit některé stávající smlouvy, ale mnohdy také vytvořit zcela nové kvůli sběru osobních údajů. Přísné požadavky jsou kladeny i na jejich zabezpečení a uchovávání. Uveďte v oblasti smluv vše do souladu s novým nařízením.
Přečtěte si další články z našeho seriálu o GDPR.
Jednou z oblastí, na kterou je potřeba se při implementaci GDPR zaměřit, jsou smlouvy. Nezáleží ani tak na tom, jestli jde o smlouvy týkající se zaměstnanců, dodavatelů či zákazníků, klíčové je, jestli se týkají osobních dat a práce s nimi. Pokud se některý z vašich dodavatelů či obchodních partnerů dopustí nějakého porušení nařízení, nebudou-li vztahy mezi vámi jasně smluvně nastavené, můžete odpovědnost nést i vy. Pokuty za prohřešky proti GDPR mohou přitom dosáhnout až 20 milionů eur či 4 % z ročního obratu, což může představovat nebezpečí i pro velké a stabilní společnosti.
Zpracovatelské smlouvy
V pozici správce se na prvním místě zaměřte na smlouvy uzavřené se zpracovateli dat, tedy různými obchodními partnery a dodavateli, kteří nějakým způsobem pracují s osobními daty vašich zákazníků. Povinnost takovou smlouvu uzavírat kladl i dosavadní zákon o ochraně osobních údajů, a to tehdy, pokud zmocnění zpracovatele přímo nevyplývá z právních předpisů. GDPR nicméně této smlouvě a jejím náležitostem věnuje celý článek 28, dosavadní smluvní úpravy tedy nemusí být dostačující.
Nadále platí, že taková smlouva musí mít písemnou podobu, nezáleží ovšem na tom, jestli je elektronická nebo listinná. Zásadní je, aby ve smlouvě byly uvedeny rozsah, účel a časové ohraničení zpracovávání dat. Stanovte si jmenovitě kategorie údajů, kterých se zpracování týká, a účely, za nimiž jsou zpracovateli předávány a následně jím zpracovávány. Kromě specifikace samotných dat ve smlouvě také uveďte, jakých subjektů se týká.
Ve smlouvě je třeba také uvést technické a bezpečnostní okolnosti zpracování, pro správce se jedná o jakousi záruku toho, že zpracovatel bude s daty nakládat odpovědně. Zpracovatel musí uvědomit správce vždy, když se na jeho straně objeví nějaké nedostatky ve zpracovávání údajů. Uvedeny by proto měly být také práva a povinnosti správce i zpracovatele. Jasně by mělo být stanoveno, v jaké podobě a jak bude zpracovatel s daty zacházet a jakým způsobem budou mezi správcem a zpracovatelem předávány. Myslete ve smlouvě také na to, co se s osobními údaji stane, pokud mezi sebou spolupráci ukončíte.
Správce za výběr zpracovatelů odpovídá a je to právě on, komu v případě nedodržení GDPR hrozí vysoká pokuta ve výši až 20 milionů eur či 4 % z ročního obratu. Správně nastavená smlouva je tedy klíčová pro případné vymáhání odpovědnosti na zpracovateli. Vybírejte si také pouze seriózní zpracovatele, u nichž si s ohledem na povahu dat a účel jejich zpracovávání můžete být jisti zajištěním dostatečných technických a bezpečnostních opatření.
Smlouvy se zaměstnanci
Ve stručnosti platí, že souhlas zaměstnance či uchazeče o zaměstnání nepotřebujete u takových údajů, které jsou potřeba pro plnění pracovních povinností. U nového zaměstnance tak můžete bez souhlasu zpracovávat informace o jeho předchozích zkušenostech a vzdělání, jež jsou nutné pro zjištění kvalifikovanosti a nastavení mzdy. Pokud vám ovšem uchazeč poskytne životopis, jste povinni jej skartovat, nedá-li výslovný souhlas s možností jeho uchování, například pro pozdější kontaktování.
Po zájemcích o zaměstnání ani po zaměstnancích nesmíte vyžadovat informace o jejich politických a společenských postojích, sexuální orientaci, vyznání, členství v odborech, nemáte-li pro to dobré odůvodnění. Hodláte-li o zaměstnancích uchovávat nějaké údaje, jejichž potřeba přímo nevyplývá z výkonu zaměstnání, budete potřebovat jejich souhlas. V žádosti o něj je třeba uvést, jaká data budou uchovávána, po jakou dobu, za jakým účelem a v jaké podobě. Jestliže souhlas zasíláte jako součást jiné smlouvy, například zaměstnanecké, musí být žádost viditelně oddělena a souhlas poskytnut zvlášť. Pokud zaměstnanec firmu opustí, je povinna jeho osobní údaje dále neuchovávat.
V případě fotografií zaměstnanců záleží na účelu využití – pokud budou určeny například na firemní nástěnku či průkazku, souhlas nepotřebujete, ale pro vystavení fotografie na webové stránky souhlas mít musíte. Jestliže zaměstnance monitorujete, nemusíte žádat o souhlas tehdy, je-li to nutné pro ochranu majetku zaměstnavatele či bezpečnost a ochranu zdraví zaměstnance. Pokud ale monitorování bude narušovat soukromí zaměstnance, například v šatně, situace se mění a o souhlas požádat musíte.
TIP: Stáhněte si zdarma vzor pracovní smlouvy.
Smlouvy se zákazníky
Nedílnou součástí GDPR je také úprava vztahů s vašimi klienty, pokud sbíráte jejich osobní údaje. Stačí přitom například vést databázi se jmény a e-mailovými adresami, jakkoli máte méně povinností než v případě zpracovávání citlivých údajů. Od svých zákazníků musíte získat souhlas se zpracováváním osobních údajů, z jejich strany musí taková žádost být srozumitelná a transparentní. Může se sice jednat o součást dalších smluvních dokumentů, avšak část o osobních údajích musí být viditelně oddělená. Zákazníky také musíte poučit o jejich právech, především právo být zapomenut a právo na poskytnutí zaznamenaných údajů.
Vaši zákazníci mají právo vědět, jaká jejich data uchováváte, za jakým účelem a jestli je následně předáváte i dalším stranám. Pokud svým zákazníkům zasíláte marketingová sdělení, například na základě adresy zadané při objednávce, nepotřebujete k tomu výslovný souhlas, pokud se marketingové nabídky týkají pouze předmětu vašeho podnikání. Jestliže například prodáváte počítače, zasílání nabídek na dovolené a půjčky zákazníkům můžete provádět pouze na základě jejich výslovného souhlasu.
Ani souhlas se zpracováním osobních údajů, ani se zasíláním nabídek nesmí být podmíněn nějakým znevýhodněním pro zákazníka. Výjimku samozřejmě tvoří případy, kdy určitý typ dat nezbytně potřebujete pro funkčnost vaší služby. I tehdy k jeho získávání ale musíte mít souhlas. Co naopak můžete, je zákazníky k poskytnutí souhlasu motivovat drobným darem.
Abyste měli veškeré úpravy smluv na základě GDPR v pořádku, měly by být vaše odpovědi na následující otázky kladné:
- Mám zanalyzováno, od koho a jaká osobní data uchovávám?
- Vím, za jakými účely tato data zpracovávám?
- Mám přehled o tom, jakým dalším stranám osobní údaje poskytuji?
- Mám s nimi nastavené zpracovatelské smlouvy v souladu s GDPR?
- Mám od svých zákazníků výslovné souhlasy ke zpracovávání, případně dalším operacím s jejich osobními údaji?
- Mám od svých zaměstnanců potvrzené, že mohu zpracovávat jejich osobní údaje?
- Pokud uchovávám osobní údaje neúspěšných uchazečů o zaměstnání v mé firmě či bývalých zaměstnanců, poskytli mi k tomu výslovný souhlas?
- Mám připravené bezpečné fyzické či virtuální úložiště pro uchovávání dat?
Uchovávání smluv
U smluv uchovávaných v listinné podobě je potřeba zajistit, že se k nim dostanou pouze povolané osoby. Jinými slovy, měly by být například zamčeny v sejfu nebo alespoň v uzamykatelné kartotéce. U elektronické podoby je zabezpečení pochopitelně složitější, smlouvy by vždy měly být uloženy na zabezpečeném úložišti. Pro menší firmy je vhodné využít v tomto případě cloudová úložiště, která jsou na GDPR připravena. V případě zániku smlouvy či souhlasu, například u životopisů neúspěšných uchazečů o zaměstnání, je potřeba papírové smlouvy skartovat a elektronické odstranit.
Příští měsíc vám poradíme, jaká práva mají nově zákazníci díky směrnici GDPR.
Chcete více chytrých rad pro své podnikání a také užitečné nástroje zdarma? Sledujte náš web průběžně, ať jste pořád o krok napřed před konkurencí.