5 praktických bodov k zosúladeniu IT zmlúv s GDPR

Osobné údaje dnes spracúva každá firma, rozdiel je len v rozsahu spracúvania. Výnimkou nie je ani IT sektor. Preto je potrebné nastaviť zmluvy a dokumentáciu tak, aby bol poskytovaný IT produkt alebo služba v súlade s nariadením GDPR.

1. Postavenie zmluvných strán z hľadiska GDPR

Na úvod si definujeme osobné údaje (OÚ). Týmito údajmi sú akékoľvek informácie, na základe ktorých je osoba identifikovaná alebo identifikovateľná (napr. meno a priezvisko, e-mailová adresa, adresa bydliska ale aj IP adresa).

Právne postavenie spoločnosti z hľadiska GDPR sa nedá všeobecne určiť, vždy závisí od konkrétnej situácie. Spoločnosť môže vystupovať ako:

• prevádzkovateľ – osoba, ktorá vymedzí účel a prostriedky spracúvania a následne spracúva OÚ vo vlastnom mene, je možné aby bolo aj viac prevádzkovateľov,
• sprostredkovateľ / subsprostredkovateľ – osoba, ktorá spracúva OÚ v mene prevádzkovateľa (napr. externá účtovná spoločnosť, provider cloudového priestoru).

Osobitné postavenie z hľadiska GDPR má dotknutá osoba, ktorou je každá fyzická osoba, ktorej OÚ sa spracúvajú (napr. zamestnanci, štatutári, zákazníci).

 

Praktický príklad: Ako spoločnosť odosielate produkt zákazníkovi prostredníctvom kuriérskej služby. V danom prípade je kuriér prevádzkovateľom nakoľko spracúva OÚ na vlastný účel – teda doručenie produktu. V tomto vzťahu tak vystupujú dvaja prevádzkovatelia spoločnosť a kuriérska služba.

2. Účel spracúvania

Účel je reálny dôvod prečo sa OÚ spracúvajú. OÚ možno získavať len na konkrétne určený, výslovne uvedený a oprávnený účel. Upozorňujeme, že takto získané OÚ sa nesmú ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s pôvodným účelom.

Praktický príklad: Ak spracúvate OÚ iba za účelom dodania služby/produktu zákazníkovi, nesmiete tieto OÚ využiť na účel marketingu.

Medzi najčastejšie účely môžeme zaradiť:

• personalistika a mzdy,
• daňové a účtovné účely,
• prevádzka profilov na sociálnych sieťach,
• newsletter,
• ochrana bezpečnosti a majetku.

3. Právny základ

Spracúvanie OÚ musí byť vždy v súlade so zákonom, teda vždy na základe platného právneho základu. Preto je veľmi dôležité aby ste správne určili najvhodnejší právny základ v súlade s účelom, ktorý sledujete spracúvaním OÚ.

Rozoznávame nasledovné právne základy:

• súhlas,
• plnenie zmluvy alebo predzmluvnej povinnosti,
• zákonná povinnosť,
• ochrana životne dôležitých záujmov dotknutej alebo inej fyzickej osoby,
• verejný záujem,
• oprávnený záujem prevádzkovateľa.

 

Súhlas

Súhlas patrí medzi najviac vnímané právne základy spracúvania OÚ. Treba však poznamenať, že by mal byť používaný až ako posledná možnosť, práve kvôli jeho ľahkej odvolateľnosti.

Súhlas musí byť:

• dobrovoľný – nesmie ním byť napríklad podmienené plnenie zmluvy,
• jednoznačný – treba jasne a zreteľne informovať osobu, ktorá udeľuje súhlas o tom, na čo súhlas udeľuje,
• informovaný – je potrebné informovať o všetkých náležitostiach vymedzených Nariadením GDPR, a to najmä účel, doba spracúvania, či je plánovaný prenos OÚ do tretej krajiny (mimo EÚ) a tiež o právach dotknutej osoby, najmä o práve kedykoľvek odvolať udelený súhlas,
• preukázateľný – musíte vedieť kedykoľvek preukázať, že dotknutá osoba súhlas udelila. Nariadenie GDPR nevymedzuje ako je potrebné daný súhlas preukázať, tzn. súhlas nemusí byť písomný a vlastnoručne podpísaný, stačí ak viete zo systému vytiahnuť že sa konkrétna osoba prihlásila napr. na newsletter.

Práve kvôli ľahkej odvolateľnosti súhlasu je potrebné starostlivo zvážiť aké OÚ budete na jeho základe spracúvať. Súhlas nie je vhodný ak spracúvate:

• OÚ zamestnanca pre účely vyplývajúce zo Zákonníka práce alebo iných predpisov,
• OÚ zákazníkov pri predaji produktov a služieb,
• OÚ uchádzača o zamestnanie v rámci výberového konania,
• OÚ súvisiace s monitorovaním priestorov kamerovým systémom.

Súhlas je najvhodnejšie používať na prípady keď spracúvate OÚ na marketingové účely alebo pri kontaktných formulároch. Jednoducho povedané všade tam kde Vás nebude „bolieť“ keď dotknutá osoba odvolá súhlas. Nakoľko ak súhlas odvolá ste ako prevádzkovateľ povinný zmazať všetky OÚ ktoré ste na jeho základe spracúvali.

Zmluva/predzmluvný vzťah

Tento právny základ sa využije ak je spracúvanie OÚ nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba. Veľmi dôležité je minimalizovať rozsah údajov ktoré potrebuje spoločnosť spracúvať.

Na to je potrebné dôkladne zanalyzovať:

• povahu zmluvy a aké plnenie sa bude poskytovať dotknutej osobe,
• dôvody na uzavretie zmluvy,
• obligatórne znaky zmluvy a ich obsah
• očakávania prevádzkovateľa a dotknutej osoby pri plnení zmluvy.

Ako príklady môžeme uviesť uzavretie pracovnej zmluvy, získavanie OÚ zákazníkov pri predaji produktov a služieb alebo uzatvorenie EULA s koncovým zákazníkom na mobilnú aplikáciu.

Zákonná povinnosť

Právnym základom môže byť aj zákonná povinnosť (napr. vyplývajúca zo Zákonníka práce). Mala by byť najčastejšie využívaným právnym základom. Ako príklad si môžeme uviesť OÚ zákazníka spracúvané na účel vedenia účtovníctva.

Životne dôležitý záujem a verejný záujem

Tieto právne základy sú využívane veľmi ojedinele. O životne dôležitý záujem môže ísť napr. pri spracúvaní OÚ pasažierov letu za účelom zamedzenia šírenia nebezpečne nákazlivej choroby. O verejný záujem ide napr. v prípadoch keď OÚ fyzických osôb spracúvajú orgány štátnej správy.

Oprávnený záujem

Tento právny základ je možné využiť ak je spracúvanie OÚ nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ.

Je však potrebné splniť nasledovné podmienky:

• spracúvanie je nevyhnutné,
• zámer prevádzkovateľa alebo tretej osoby musí byť oprávnený,
• existuje rovnováha medzi oprávneným záujmom prevádzkovateľa alebo tretej osoby, na ktorý sa odvoláva a záujmami alebo základnými právami a slobodami dotknutej osoby (ak záujmy dotknutej osoby prevažujú, potom toto spracúvanie nebude zákonné).

Dotknutá osoba má právo namietať spracúvanie jej OÚ na základe oprávneného záujmu. Na toto právo ju musí prevádzkovateľ upozorniť. Namietanie však nemá za následok povinnosť vymazať spracúvané OÚ ako je to pri súhlase. Prevádzkovateľovi sa dáva možnosť preukázať, že má oprávnené záujmy, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby.

Praktický príklad: V prípade kamerového systému, ktorý monitoruje priestory prevádzkovateľa na základe oprávneného záujmu, tak v prípade uplatnenia námietky voči spracúvaniu, prevádzkovateľ nemusí vymazať údaje ak preukáže, že jeho právo monitorovať priestory na ochranu jeho majetku prevažujú nad právami dotknutej osoby.

Na záver tejto časti stručný návod ako postupovať pri výbere právneho základu:

4. Zmluva o spracúvaní osobných údajov

Keď dochádza k prenosu OÚ od prevádzkovateľa k inému subjektu je potrebné uzavrieť Zmluvu o spracúvaní OÚ. Ideálne, ak je táto zmluva uzavretá spolu s hlavnou zmluvou, rozhodne neodkladajte jej uzavretie na neskôr.

Pred jej vypracovaním si najskôr zodpovedzte nasledujúce otázky:

• budem inému subjektu poskytovať dáta alebo OÚ?
• prečo OÚ poskytujem? (napr. zákonná povinnosť, povinnosť vyplývajúca o zmluvy)
• aké činnosti s OÚ bude subjekt vykonávať?
• pre koho bude subjekt spracovateľské operácie robiť? (pre mňa alebo pre seba)

Prostredníctvom Zmluvy o spracúvaní OÚ prevádzkovateľ poveruje sprostredkovateľa na spracúvanie OÚ. Preto je pred jej uzavretím dôležité splniť tzv. preverovaciu povinnosť, ktorú ukladá Nariadenie GDPR prevádzkovateľovi. Ten musí ešte pred uzavretím zmluvy dôkladne preveriť potencionálneho sprostredkovateľa. Hlavne či dodržiava všetky podmienky a štandardy stanovené Nariadením GDPR pre spracúvanie OÚ.

Povinnosť uzavrieť Zmluvu o spracúvaní OÚ je na strane prevádzkovateľa. V prípade jej neuzavretia a následnej kontroly však môže vzniknúť problém na oboch stranách. A teda, že prevádzkovateľ poskytuje OÚ bez poverenia a sprostredkovateľ ich bez poverenia spracúva.

5. Ostatné povinnosti

Spoločnosť pri zosúlaďovaní zmlúv s Nariadením GDPR okrem určenia účelu, právneho základu a uzavretia Zmluvy o spracúvaní OÚ má aj mnohé ďalšie povinnosti.

Medzi tie základne radíme:

• všeobecná informačná povinnosť (je potrené stručne a transparentne informovať o účele a právnom základe spracúvania, dobe spracúvania, prenose OÚ, právach dotknutej osoby a mnohých ďalších podmienkach spracúvania OÚ),
• bezpečnosť spracúvania OÚ (prijatie potrebných organizačných a technických opatrení na zabezpečenie spracúvania OÚ),
• nahlasovanie porušení ochrany OÚ,
• záznamy o spracovateľských operáciách (je potrebné vyhotoviť dokument obsahujúci základné informácie o spracúvaní OÚ),
• ustanovenie zodpovednej osoby,
• posúdenie vplyvu na ochranu OÚ (je potrebné vypracovať analýzu právnych rizík pri spracúvaní osobných údajov a vypracovanie dokumentu, ktorú túto povinnosť dokumentuje).

Záver

Pri zosúlaďovaní vašich zmlúv s nariadením GDPR si vždy rozmyslite, ktoré údaje skutočne potrebuje spracúvať. Dbajte nato, aby ste ich spracúvali na základe správneho právneho základu.

Téma ochrany OÚ je v IT firmách veľmi aktuálna a pri nesprávnom nastavení zmlúv môže mať nepríjemné následky. Preto zverte ich prípravu do rúk odborníkov. Za posledné tri roky sme sa stali garantmi GDPR pre viac ako 200 firiem, od startupov až po korporácie.

Chcete sa dozvedieť viac? Alebo riešite vo svojej firme iný problém týkajúci sa GDPR? Napíšte nám na eva.schin.webinar@mathisonlegal.sk alebo zavolajte na +421 908 587 876.