1. ÚVOD
Dle čl. 10 odst. 3 Listiny základních práv a svobod má „každý právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.“ GDPR upravuje postupy a mechanismy sloužící k ochraně subjektů údajů.
Nařízení zpřesňuje ochranu osobních údajů a posiluje právo fyzické osoby na kontrolu zpracování osobních údajů. GDPR se týká všech osobních údajů. Takové údaje mohou být zachycené v listinné podobě, ale i v elektronické podobě, zejména v různých informačních systémech.
Účtaři s.r.o. (dále také společnost nebo ÚČ) je povinna přijmout vhodná opatření, aby s osobními údaji zacházela v souladu s GDPR, zejm. popsat a definovat procesy v souvislosti se zpracováním osobních údajů, tak aby dodržela zásady:
- zákonnosti (zpracování osobních údajů na základě stanoveného právního důvodu a v souladu s GDPR),
- korektnosti a transparentnosti (zejména ve smyslu plnění informační povinnosti ve vztahu k subjektu údajů),
- účelového omezení (vymezení důvodu, na jehož základě správce osobní údaje zpracovává),
- minimalizace osobních údajů (zpracovávání přiměřených a relevantních osobních údajů v nezbytném rozsahu),
- přesnosti (zpracovávání pouze přesných osobních údajů),
- omezení uložení (zpracovávání osobních údajů pouze po nezbytnou dobu),
- integrity a důvěrnosti (náležité zabezpečení osobních údajů).
GDPR zdůrazňuje, že smyslem a účelem těchto zásad je jejich osvojení a promítnutí do všech procesů zpracování osobních údajů, které podléhají režimu GDPR. Platné právní předpisy ukládají řadu právních povinností, k jejichž plnění je nezbytné zpracování osobních údajů.
Společnost vykonává činnosti, při nichž dochází ke zpracování osobních údajů, nejen v přímé souvislosti s výkonem samostatné působnosti, ale rovněž může být např. z pozice zaměstnavatele nebo účastníka smlouvy. Společnost je jak správcem, tak zpracovatelem osobních údajů s ohledem na poskytované účetní služby. Společnost je správcem v případě, kdy sama určuje účely a prostředky zpracování osobních údajů, resp. pokud tento účel a prostředky ukládá zákon. Zpracovatelem je za situace, kdy provádí činnosti zpracování pro jiného správce, který je definován přímo zákonem (zpracování mezd).
Definice pojmů Subjekt údajů, Správce, Zpracovatel, Zpracování osobních údajů
Subjekt údajů
Subjekt údajů je dle čl. 4 odst. 1 GDPR identifikovaná nebo identifikovatelná fyzická osoba; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Správce
Dle definice uvedené v čl. 4 odst. 7 GDPR je správcem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem EU či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
Správcem je ta osoba, která rozhodla, že bude vykonávat určitou činnost, jejíž nezbytnou součástí je zpracování osobních údajů. Účelem se rozumí cíl dané činnosti a jeho smysl, např. ochrana práv subjektů údajů, ochrana majetku, ochrana zdraví. Prostředky se rozumí zvolené postupy pro konkrétní zpracování, tedy konkrétní nástroje, které budou pro zpracování údajů využity.
Zpracování osobních údajů za určitým účelem může být určitému subjektu rovněž uloženo přímo zákonem. Účel zpracování a prostředky zpracování v tomto případě určí zákonodárce, i tak je ale povinný subjekt v postavení správce osobních údajů. Správce je osobou odpovědnou za realizaci GDPR, je povinen zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s GDPR. Nezbytné je zejména dodržení povinnosti ve vztahu ke stanovení právního důvodu zpracování osobních údajů. Pokud správce nedisponuje právním důvodem pro zpracování osobních údajů, nemůže osobní údaje zpracovávat. Správce odpovídá za rozsah osobních údajů, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. GDPR požaduje, aby zpracování osobních údajů bylo prováděno v souladu se zásadami zpracování osobních údajů, jejichž dodržování musí být správce zároveň schopen doložit.
Zpracovatel
Dle definice uvedené v čl. 4 odst. 8 GDPR je zpracovatelem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracovatelem je osoba, která jedná z pověření správce a má přístup k osobním údajům. Zpracovatel může osobní údaje zpracovávat pouze na pokyn správce, ledaže jejich zpracování ukládá právo EÚ nebo členského státu. Zpracovatelem je vždy osoba s vlastní právní subjektivitou odlišnou od správce.
Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva EÚ nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Další náležitosti smlouvy nebo jiného právního aktu stanoví čl. 28 odst. 3 GDPR.
Zpracováním osobních údajů
Zpracováním osobních údajů se dle čl. 4 odst. 2 GDPR rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
2. Analýza při implementaci GDPR
Seznam procesů, kde jsou používány osobní údaje a určení důvodů pro zpracování osobních údajů
Osobní údaje se výhradně budou používat při zpracování mzdy zaměstnanců (v podrobnostech bude uloženo ve spisu zaměstnance). Bude uloženo v zamykatelné skříni. Dále je možno připustit zpracování osobních údajů výhradně při zpracování mezd v rámci poskytování účetních služeb.
Jak zpracování osobních údajů probíhá a kde se údaje ukládají (papírová forma, kartotéka, archiv, šanon a skříň, počítač a sw. produkt, databáze, lokální nebo síťová úložiště, používání cloudové služby, emaily, mobilní zařízení …)
Jednatel společnosti může v budoucnu zpracovávat osobní data z důvodů nároků zaměstnance na sjednanou mzdu.
Osobní údaje (dále také OU) budou uloženy v písemné podobě v personálním – osobním spisu zaměstnance (dále také spis) a popř. v rámci výkonu poskytování účetních služeb budou uloženy v zamykatelné skříni, rovněž tak uloženy v PC a zabezpečeny dostatečně vhodným heslem.
V papírové podobě budou osobní data uvedena v dokladech níže uvedených, pokud bude přijat zaměstnanec:
- Pracovní smlouva
- Mzdový výměr
- Mzdový list
- Podklad pro výpočet mzdy
- Bankovní výpis s úhradou plateb týkajících se mzdy
- Výstupy pro kontrolu úřadů ČSSZ, zdravotní pojišťovnu, FÚ
Ke spisu kromě jednatele nebude mít nikdo jiný přístup. Nepoužívá se lokální nebo síťová úložiště ani cloudové služby.
V případě, že budoucí zaměstnanec bude čerpat osobní volbo bez mzdy, neprovádí se platby mzdy a osobní data jsou zpracovávána pouze pro účely dodržení platných předpisů a následné kontroly.
3. Doporučení při implementaci GDPR na základě analýzy
Analýzou skutečností bylo zjištěno, že zavedené procesy ke dni vzniku společnosti a používaná dokumentace PLNĚ VYHOVUJE požadavkům GDPR.
Osobní údaje, pokud budou zpracovávané pro potřeby vyhotovení mzdy, nebudou používané pro jiné účely, než dané zákony (zákoník práce, zákon o mzdě, zákony o pojistném a o daních atd.)
Nebudou používané pro marketingové účely ani jinak zneužívané v neprospěch držitelů osobních dat.
Jednatel je vázán v souladu se zákoníkem práce, zákonem o mzdě a zákonem o korporacích ochranou dat a tu plně bude dodržovat a respektovat.
4. Závěr k implementaci GDPR
Společnost zavedla implementaci GDPR v souladu s nařízením GDPR ke dni 22.8.2022 s účinností od 22.8.2022.
Veškeré předpisy týkající se ochrany dat budou společností dodržovány a bude plně respektováno právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o fyzické osobě, dle čl. 10 odst. 3 Listiny základních práv a svobod.