Obecné nařízení o ochraně osobních údajů se dotkne nejen zaměstnavatelů, ale i jejich externích účetních. Nejvyšší čas doplnit stávající smlouvy.
Zaměstnavatel jako správce osobních údajů musí chránit při zpracování osobní údaje svých zaměstnanců. Stejné povinnosti má externí účetní společnost, která pro zaměstnavatele zpracovává osobní údaje jeho zaměstnanců.
Čtěte více: GDPR zatočí s kopírováním nadbytečných dokladů zaměstnavatelem
Článek pojednává o externím zpracování mzdového účetnictví. Zaměstnaní mzdoví účetní samozřejmě žádnou smlouvu o zpracování nemají, vztahují se na ně obecná pravidla zpracování osobních údajů zaměstnavatelem.
Zpracování mzdového účetnictví externí firmou
Nejeden zaměstnavatel využívá ke zpracování mzdové agendy externí účetní firmy. Zaměstnavatel takto může v souladu s GDPR postupovat a nepotřebuje k tomu souhlas dotčených zaměstnanců. Musí si ale vybrat takovou externí firmu, která mu dá dostatečnou záruku, že zavedla ke zpracování mzdové agendy vhodná technická a organizační opatření v souladu s požadavky nařízení GDPR. Je třeba mít na paměti, že odpovědnost správce při využití zpracovatele se nikdy zcela nepřenáší a nezaniká.
Čtěte také: GDPR a osobní údaje zaměstnanců pro daňové účely
Jestliže by došlo k porušení zcela na straně zpracovatele, byla by odpovědnost správce za takové porušení zpravidla vyloučena. Avšak mohl by být konfrontován, že nezvolil zpracovatele, které poskytuje dostatečné záruky.
Zpracování osobních údajů mzdovou účtárnou může probíhat pouze na základě smlouvy. Zde musí být sjednán předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektu údajů (zaměstnanci), práva a povinnosti zaměstnavatele. Smlouva musí být vyhotovena písemně (lze i elektronicky). V souladu se zavedením GDPR je nutná revize stávajících smluv. Nevyhovující smlouvy je vhodné nahradit novými, případně pouze doplnit nově požadované údaje (dodatkem). A to nejpozději v den účinnosti obecného nařízení GDPR.
Vedle obchodních podmínek spolupráce musí smlouva obsahovat:
- předmět a dobu trvání zpracování osobních údajů,
- povahu a účel zpracování osobních údajů (umožnění zaúčtování daňových dokladů a vedení personální a mzdové agendy externí mzdovou účetní pro zaměstnavatele),
- typ osobních údajů (jméno, příjmení a titul, datum narození, rodné číslo poštovní adresa, e-mailová adresa, telefonní číslo, údaje o zdravotní pojišťovně, údaje o bankovním spojení atd.),
- kategorie subjektu údajů (pravidla zaměstnanci),
- práva a povinnosti zaměstnavatele (zajistit zpracování v souladu s nařízením, přijmout vhodná opatření apod.).
Smlouva musí rovněž obsahovat výslovně uvedené povinnosti, a to že mzdová účtárna:
- zpracovává osobní údaje zaměstnanců pouze na základě doložených pokynů zaměstnavatele,
- zajišťuje, aby se osoby u ní oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
- přijme všechna opatření k zabezpečení zpracování osobních údajů zaměstnanců,
- dodržuje podmínky pro zapojení dalšího případného zpracovatele (tzv. řetězení zpracovatelů),
- zohledňuje povahu zpracování, je zaměstnavateli nápomocna prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění povinnosti zaměstnavatele reagovat na žádosti o výkon práv zaměstnanců,
- je zaměstnavateli nápomocna při zajišťování souladu s povinností k zabezpečení zpracování osobních údajů zaměstnanců, při ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a samotnému zaměstnanci, a to při zohlednění povahy zpracování a informací, jež má mzdová účtárna k dispozici,
- v souladu s rozhodnutím zaměstnavatele všechny osobní údaje vrátí zaměstnavateli po ukončení poskytování služeb spojených se zpracováním osobních údajů a vymaže existující kopie, pokud příslušné právní předpisy neukládají povinně uložení daných osobních údajů,
- poskytne zaměstnavateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v článku 28 GDPR o zpracovateli, a to poskytne možnost auditu, včetně inspekcí, prováděné zaměstnavatelem nebo jím pověřeným auditorem, a k těmto auditům poskytne součinnost.
Externí mzdová společnost (v postavení zpracovatele osobních údajů) musí zajistit, aby každá fyzická osoba, která jedná z jejího pověření a má přístup k osobním údajům, zpracovávala tyto údaje v souladu s pokyny zaměstnavatele. Jestliže by zaměstnanec utrpěl majetkovou nebo nemajetkovou újmu, může požadovat na základě pravomocného rozhodnutí soudu náhradu této újmy, jak po zaměstnavateli, tak po externí mzdové účtárně. Odpovědnosti k náhradě újmy se správce nebo zpracovatel zprostí pouze v případě, kdy žádným způsobem nenesou odpovědnost za událost, která ke vzniku újmy vedla. Je tedy vhodné, aby smlouva o zpracování osobních údajů obsahovala i regresivní nárok na náhradu újmy.
Čtěte také: GDPR a výmaz osobních údajů po skončení pracovního poměru
Řetězení dalších zpracovatelů osobních údajů
Řetězení zpracovatelů znamená zapojení dalšího zpracovatele do zpracování, a to ze strany zpracovatele. Vznikne tedy řetěz: správce – zpracovatel 1 – zpracovatel 2. Externí mzdová účetní může zapojit do zpracování mzdového účetnictví dalšího zpracovatele pouze s písemným souhlasem zaměstnavatele s řetězením dalších zpracovatelů. Dále si musí zpracovatelé mezi sebou sjednat písemnou smlouvu o zpracování osobních údajů, která ukládá dalšímu zpracovateli stejné povinnosti ohledně zpracování osobních údajů, jako uvádí původní (hlavní) smlouva o zpracování, uzavřená mezi správcem a prvním zpracovatelem.