dnes je 7.8.2020

Input:

Ukončení zpracovatelské smlouvy

8.9.2019, , Zdroj: Verlag Dashöfer

1.167
Ukončení zpracovatelské smlouvy

Mgr. Mgr. Radana Burešová

Dotaz:

Jak máme správně ošetřit ukončení zpracovatelské smlouvy s externí firmou pro zpracování mezd, hlavně z hlediska předání osobních údajů v digitální i papírové podobě?


Odpověď:

Ukončení smlouvy o zpracování osobních údajů (dále jen „smlouva o zpracování”) není speciálně upraveno, je tedy třeba vycházet z občanského zákoníku a dohody smluvních stran obsažené ve smlouvě o zpracování, která musí být písemná. V úvahu přicházejí zejména způsoby ukončení platnosti smlouvy o zpracování standardně upravené v občanském zákoníku – odstoupení, výpověď, dohoda stran, rozvazovací podmínka apod.

V ideálním případě by smlouva o zpracování (čl. 28 odst. 3 GDPR) měla být přímo součástí smluv uzavíraných se zpracovateli osobních údajů (např. smlouvy o zpracování mzdového účetnictví). Toho lze docílit rovněž tím, že smlouva o zpracování bude vyhotovena formou dodatku k „hlavní smlouvě”. Takto lze obě smlouvy jednoduše provázat, aniž by bylo nutno složitě odkazovat na druhou smlouvu apod.

Hlavní zásadou je, že bez smlouvy o zpracování zpracovatel nemůže osobní údaje, které zpracovává z pověření správce, zpracovávat. Platí to jak pro období před vstupem smlouvy o zpracování v účinnost, tak pro období, kdy skončila její platnost.

Jakmile tedy smlouva o zpracování osobních údajů přestane platit, nemůže zpracovatel (např. externí mzdový účetní) nadále pro správce zpracovávat žádné osobní údaje. Zpracováním je přitom podle čl. 4 bodu 2 GDPR „jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení”.

Veškeré operace, které zpracovatel s danými osobními údaji provádí, je tedy nutno ukončit nejpozději v poslední den platnosti smlouvy o zpracování osobních údajů pro správce (resp. hlavní smlouvy, v ideálním případě končí platnost obou smluv zároveň, neboť bez jedné zpracovatel nemůže plnit druhou). Nejpozději v tento den by zpracovatel měl tyto údaje vrátit správci (včetně veškerých případných kopií, a to v jakékoli podobě – tištěné i digitální), popř. je zničit (vymazat z PC apod.).

Vzhledem k tomu, že vůči veřejným orgánům (správa sociálního zabezpečení) nese odpovědnost za zpracování mzdové a personální agendy správce osobních údajů, je v jeho zájmu, aby mu zpracovatel předal veškeré osobní údaje, které po něm tyto orgány mohou na základě příslušných právních předpisů požadovat (tj.