GDPR a běžná komunikace

Když si objednáte nový software, poradenskou službu nebo malou opravu v kanceláři, často se dostanete do situace, kdy váš partner zná jen jména a e-maily několika vašich kolegů. Přesto v hlavě bliká červená kontrolka GDPR: „Musíme teď podepisovat dlouhou smlouvu o zpracování osobních údajů (DPA)?“ Realita je mnohem praktičtější – a pro malé a střední firmy důležitější, než se na první pohled zdá.

V jádru jde o to, zda partner skutečně zpracovává osobní údaje vašich zaměstnanců ve vašem jménu, nebo jestli si jen uchovává kontakty pro běžnou operativní komunikaci. Pokud dodavatel softwaru nebo poradenská firma jen občas napíše e-mail vašemu vedoucímu skladu nebo zavolá finanční manažerce kvůli faktuře, stále se jedná o běžnou B2B komunikaci. Tady vzniká první zásadní rozdíl: mezi zpracovatelem a samostatným správcem dat.

Zpracovatel (zprostředkovatel) je ten, kdo pracuje s údaji přímo pro vás – například mzdová účetní, která počítá výplaty vašich zaměstnanců podle poskytnutých dat. V takovém případě DPA potřebujete, jinak hrozí pokuta. 

Samostatný správce si ale data uchovává pro své interní účely a nemá povinnost postupovat podle vašich instrukcí. Klasickým příkladem je řemeslník, který potřebuje jen kontakt na správce budovy, aby se domluvil na vstupu do kanceláře. Nemá přístup do vašich databází ani systémů – DPA tedy není nutná.

Praktický tip pro SME: Místo samostatné DPA zvažte, zda nestačí krátká doložka v běžné obchodní smlouvě. Například věta: „Smluvní strany si vzájemně poskytují kontaktní údaje svých zaměstnanců výlučně za účelem operativní komunikace při plnění této smlouvy.“ Taková úprava pokryje běžnou komunikaci, aniž byste museli sepisovat desetistránkový dokument o bezpečnosti serverů.

Co si ale hlídat? Hranice se posouvá, pokud partner získává přístup do vašich interních systémů, kde jsou uloženy kontakty zaměstnanců, nebo má za úkol operativně řídit vaše týmy. V tu chvíli se automaticky stává zpracovatelem a DPA je nezbytná. Pokud partner přímo spravuje databáze klientů nebo zaměstnanců, musí být smlouva opět podepsaná.

Data vašich zaměstnanců nejsou jen e-maily, ale také tituly, pracovní telefony či vizitky. GDPR tyto údaje chrání stejně, ať už jsou v Gmailu, Outlooku nebo CRM. Malý rozsah – například 2 až 3 kontakty – sice snižuje riziko, ale právní čistota zůstává klíčová. Kvalitní znění smlouvy předchází nedorozuměním a budoucím komplikacím při případné kontrole úřadu.

Firmy v EU dnes často čelí tlaku, aby i „okrajové“ zpracovatelské činnosti byly písemně podchycené. Strategický přístup tedy není jen formalita – znamená lepší kontrolu nad riziky, minimalizaci administrativy a rychlejší rozhodování v běžném provozu.

Pokud dodavatel jen e-mailuje nebo volá vašim manažerům kvůli realizaci služby, DPA nepotřebujete. Stačí stručná zajišťovací doložka ve smlouvě. Pokud ale přistupuje do vašich systémů nebo spravuje citlivé databáze, smlouva je povinností. Rozlišovat mezi těmito situacemi není jen byrokracie – je to praktická ochrana vašeho podnikání, která vám ušetří čas, náklady i starosti.