Jaké dopady má GDPR na zpracovatele mezd

19. 6. 2018

Od 25. května 2018 je účinné Ochranné nařízení pro ochranu osobních údajů (známé pod anglickou zkratkou GDPR). Směrnice se týká 97 % všech českých podniků a živnostníků. Počítat s ní musí všichni, kteří jakkoli zpracovávají osobní údaje. Pravidla se týkají jednotlivců, malých, středních i velkých firem. Velikost subjektu žádnou roli nehraje. 

Co je GDPR

Čtyři písmena, která mnohé děsí. Obecně má směrnice za cíl, aby fyzické osoby měly větší kontrolu nad nakládáním s jejich osobními údaji. Také by pro ně mělo být jednodušší domoci se svých práv při porušení ochrany osobních údajů. Firmy a ostatní zpracovatelé osobních údajů se ovšem na podobu směrnice museli připravit a nešlo o přípravy jednoduché. „V případě GDPR se jedná na straně firem o hromadné aktualizace databází kontaktů, úpravy smluv se zaměstnanci a dodavateli a v neposlední řadě ztráta možnosti kontaktovat stovky i tisíce klientů,“ upozorňuje Jan Vaněk z účetní firmy Tigra.  

Zaměstanavatelé musí v první řadě chránit údaje zaměstnanců

Každý zaměstnavatel se při podpisu pracovní smlouvy stává tzv. správcem osobních údajů. Musí proto připravit vnitřní směrnici za jakým účelem a jakými prostředky bude shromažďovat, zpracovávat a uchovávat osobní údaje svých zaměstnanců. GDPR se netýká jen digitálních forem uchování dat, ale i veškerých papírových kartoték a databází. Jako osobní údaje jsou pak chápány jakékoli informace vztahující se k identifikované osobě. A to nejen jméno nebo datum narození, ale i IP adresa nebo politické názory.

Zpracování musí splňovat tři základní podmínky.

1. Ke zpracování byl udělen jednoznačně specifikovaný souhlas.
2. Zpracování údajů je nezbytné pro splnění smlouvy – např. nemůže být uzavřena bez jména.
3. Zpracování je nutné pro splnění právní povinnosti – jako je zpracování mezd.

GDPR se tak logicky dotkne i těch, kteří s těmito osobními údaji pracují. „Zpracovatelé mezd budou vázáni jednoznačnými pokyny, které specifikuje pracovní smlouva nebo jiná vnitřní směrnice. Pokud mzdy bude zpracovávat externí firma, bude muset mít se všemi zaměstnavateli smlouvu o zpracování osobních údajů a vést záznamy o jejich zpracování,“ vysvětluje Vaněk.

Spousta firem také využívá pro vedení účetnictví koupený nebo pronajatý software. V tom případě je nutné se ujistit, zda konkrétní software je v souladu s GDPR a následně přijmout taková opatření, aby osobní údaje byly pod dostatečnou ochranou.

Úskalí GDPR

Proč je tedy GDPR v poslední době všude skloňované? Dotkne se totiž opravdu téměř všech podniků a živnostníků a náklady na implementaci přijdou stát a firmy odhadem na šest miliard korun. Navíc každý další subjekt, který se k osobním datům dostane, musí být kryt písemnou smlouvou a musí být specifikováno, s jakými údaji a za jakým účelem je bude zpracovávat. „Úskalím jsou bezpochyby i sankce, které jsou v porovnání s předchozími prohřešky obrovské. Při méně závažném porušení je sankce 10 milionů euro, při závažném dokonce 20 milionů euro. Případně 2 % nebo 4 % z celosvětového obratu za předešlý rok. Dosud byla maximální výše sankci 5 milionů korun,“ říká Jan Vaněk z účetní firmy Tigra.

Dopady bude tedy mít GDPR na všechny, kdo jakkoli pracují s osobními údaji. A ti také musí své vnitřní směrnice nastavit tak, aby osobní údaje byly chráněné a podpořené souhlasem. Jinak mu hrozí i likvidační sankce.

« zpět