Zpracování mzdového účetnictví externí firmou a GDPR

23. 5. 2018
Doba čtení: 4 minuty

Sdílet

Ilustrační obrázek Autor: Depositphotos.com, podle licence: Rights Managed
Ilustrační obrázek
Blíží se 25. květen 2018 a spolu s ním účinnost nařízení GDPR. Zaměstnavatelům, kteří si nechávají zpracovávat účetnictví, přináší další povinnosti.

Obecné nařízení o ochraně osobních údajů se dotkne nejen zaměstnavatelů, ale i jejich externích účetních. Nejvyšší čas doplnit stávající smlouvy.

Zaměstnavatel jako správce osobních údajů musí chránit při zpracování osobní údaje svých zaměstnanců. Stejné povinnosti má externí účetní společnost, která pro zaměstnavatele zpracovává osobní údaje jeho zaměstnanců.

Čtěte více: GDPR zatočí s kopírováním nadbytečných dokladů zaměstnavatelem

Článek pojednává o externím zpracování mzdového účetnictví. Zaměstnaní mzdoví účetní samozřejmě žádnou smlouvu o zpracování nemají, vztahují se na ně obecná pravidla zpracování osobních údajů zaměstnavatelem.

Zpracování mzdového účetnictví externí firmou

Nejeden zaměstnavatel využívá ke zpracování mzdové agendy externí účetní firmy. Zaměstnavatel takto může v souladu s GDPR postupovat a nepotřebuje k tomu souhlas dotčených zaměstnanců. Musí si ale vybrat takovou externí firmu, která mu dá dostatečnou záruku, že zavedla ke zpracování mzdové agendy vhodná technická a organizační opatření v souladu s požadavky nařízení GDPR. Je třeba mít na paměti, že odpovědnost správce při využití zpracovatele se nikdy zcela nepřenáší a nezaniká. 

Čtěte také: GDPR a osobní údaje zaměstnanců pro daňové účely

Jestliže by došlo k porušení zcela na straně zpracovatele, byla by odpovědnost správce za takové porušení zpravidla vyloučena. Avšak mohl by být konfrontován, že nezvolil zpracovatele, které poskytuje dostatečné záruky.

Zpracování osobních údajů mzdovou účtárnou může probíhat pouze na základě smlouvy. Zde musí být sjednán předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektu údajů (zaměstnanci), práva a povinnosti zaměstnavatele. Smlouva musí být vyhotovena písemně (lze i elektronicky). V souladu se zavedením GDPR je nutná revize stávajících smluv. Nevyhovující smlouvy je vhodné nahradit novými, případně pouze doplnit nově požadované údaje (dodatkem). A to nejpozději v den účinnosti obecného nařízení GDPR.

Ptejte se odborníka v poradně Mzdové účetnictví
PhDr. Dagmar Kučerová
mzdový poradce

Vedle obchodních podmínek spolupráce musí smlouva obsahovat: 

  • předmět a dobu trvání zpracování osobních údajů,
  • povahu a účel zpracování osobních údajů (umožnění zaúčtování daňových dokladů a vedení personální a mzdové agendy externí mzdovou účetní pro zaměstnavatele),
  • typ osobních údajů (jméno, příjmení a titul, datum narození, rodné číslo poštovní adresa, e-mailová adresa, telefonní číslo, údaje o zdravotní pojišťovně, údaje o bankovním spojení atd.),
  • kategorie subjektu údajů (pravidla zaměstnanci),
  • práva a povinnosti zaměstnavatele (zajistit zpracování v souladu s nařízením, přijmout vhodná opatření apod.).

Smlouva musí rovněž obsahovat výslovně uvedené povinnosti, a to že mzdová účtárna:

  • zpracovává osobní údaje zaměstnanců pouze na základě doložených pokynů zaměstnavatele,
  • zajišťuje, aby se osoby u ní oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
  • přijme všechna opatření k zabezpečení zpracování osobních údajů zaměstnanců,
  • dodržuje podmínky pro zapojení dalšího případného zpracovatele (tzv. řetězení zpracovatelů),
  • zohledňuje povahu zpracování, je zaměstnavateli nápomocna prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění povinnosti zaměstnavatele reagovat na žádosti o výkon práv zaměstnanců,
  • je zaměstnavateli nápomocna při zajišťování souladu s povinností k zabezpečení zpracování osobních údajů zaměstnanců, při ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a samotnému zaměstnanci, a to při zohlednění povahy zpracování a informací, jež má mzdová účtárna k dispozici,
  • v souladu s rozhodnutím zaměstnavatele všechny osobní údaje vrátí zaměstnavateli po ukončení poskytování služeb spojených se zpracováním osobních údajů a vymaže existující kopie, pokud příslušné právní předpisy neukládají povinně uložení daných osobních údajů,
  • poskytne zaměstnavateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v článku 28 GDPR o zpracovateli, a to poskytne možnost auditu, včetně inspekcí, prováděné zaměstnavatelem nebo jím pověřeným auditorem, a k těmto auditům poskytne součinnost.

Externí mzdová společnost (v postavení zpracovatele osobních údajů) musí zajistit, aby každá fyzická osoba, která jedná z jejího pověření a má přístup k osobním údajům, zpracovávala tyto údaje v souladu s pokyny zaměstnavatele. Jestliže by zaměstnanec utrpěl majetkovou nebo nemajetkovou újmu, může požadovat na základě pravomocného rozhodnutí soudu náhradu této újmy, jak po zaměstnavateli, tak po externí mzdové účtárně. Odpovědnosti k náhradě újmy se správce nebo zpracovatel zprostí pouze v případě, kdy žádným způsobem nenesou odpovědnost za událost, která ke vzniku újmy vedla. Je tedy vhodné, aby smlouva o zpracování osobních údajů obsahovala i regresivní nárok na náhradu újmy. 

Čtěte také: GDPR a výmaz osobních údajů po skončení pracovního poměru

Řetězení dalších zpracovatelů osobních údajů

Řetězení zpracovatelů znamená zapojení dalšího zpracovatele do zpracování, a to ze strany zpracovatele. Vznikne tedy řetěz: správce – zpracovatel 1 – zpracovatel 2. Externí mzdová účetní může zapojit do zpracování mzdového účetnictví dalšího zpracovatele pouze s písemným souhlasem zaměstnavatele s řetězením dalších zpracovatelů. Dále si musí zpracovatelé mezi sebou sjednat písemnou smlouvu o zpracování osobních údajů, která ukládá dalšímu zpracovateli stejné povinnosti ohledně zpracování osobních údajů, jako uvádí původní (hlavní) smlouva o zpracování, uzavřená mezi správcem a prvním zpracovatelem.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Dagmar je redaktorkou Podnikatel.cz a ve svých článcích se zaměřuje na oblast mzdového účetnictví a personalistiky. Mzdové účetní pravidelně školí a poskytuje rady v odborné poradně.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).