Predstavte si situáciu: Našli ste si skvelého partnera, ktorý vám má dodať nový softvér na skladové hospodárstvo alebo vám poskytnúť odborné poradenstvo v oblasti logistiky. Tento partner sa k vašim databázam klientov ani len nepriblíži. Nerobí pre Vás zálohy, nearchivuje ich, nepremiestňuje ich, osobné údaje nepridáva a ani ich nemaže a pod. Celá jeho "práca s ľuďmi" spočíva v tom, že si občas vymení e-mail s vaším vedúcim skladu a zavolá vašej finančnej manažérke, aby doriešili faktúru.
V hlave vám však bliká kontrolka s nápisom GDPR. Partner predsa má osobné údaje (mená a e-maily) vašich kolegov. Musíte teraz spisovať komplikovanú a dlhú zmluvu o spracúvaní osobných údajov, známu ako DPA (Data Processing Agreement)?
GDPR by nám malo pomáhať chrániť súkromie, nie nás utopiť v zbytočnej byrokracii. Ak ide o bežný biznis kontakt, zachovajte chladnú hlavu. Profesionálna doložka v zmluve je v tomto prípade vaším najlepším priateľom.
Poďme si to vysvetliť jednoducho a na príkladoch.
1. Sú pracovné kontakty vôbec "osobné údaje"?
Krátka odpoveď znie: Áno. GDPR nerobí rozdiel medzi tým, či ide o váš súkromný Gmail, alebo pracovný e-mail typu [email protected]. Aj pracovná adresa, titul či služobný telefón sú údaje, ktoré patria konkrétnemu človeku (fyzickej osobe).
Príklad: Ak dám obchodnému partnerovi vizitku svojho manažéra, práve som mu z pohľadu práva "poskytol osobné údaje". Hoci sú to údaje na biznis účely, stále ich chránime.
2. Sprostredkovateľ vs. samostatný prevádzkovateľ
Toto je najdôležitejší bod celého rébusu. Aby ste potrebovali DPA zmluvu (podľa článku 28 GDPR), váš partner by musel byť vaším sprostredkovateľom. To znamená, že by spracúval údaje vo vašom mene a podľa vašich pokynov – napríklad ako mzdová účtovníčka, ktorej posielate dáta všetkých zamestnancov, aby im vypočítala výplaty.
Ak však partner potrebuje mená vašich 2-3 manažérov len na to, aby s nimi mohol komunikovať a splniť to, čo si uňho firma objednala, situácia je iná. Vtedy tento partner vystupuje ako samostatný prevádzkovateľ svojich vlastných kontaktov. On si tieto e-maily uloží do svojho Outlooku, aby vedel, komu zavolať. Nepotrebuje od vás návod, ako má vytočiť telefónne číslo.
Príklad: Predstavte si, že si objednáte maliarsku firmu na vymaľovanie kancelárií. Maliar potrebuje kontakt na vášho správcu budovy, aby sa dohodli, kedy mu otvorí dvere. Maliar nie je váš "sprostredkovateľ údajov", on je dodávateľ služby, ktorý potrebuje kontakt na koordináciu práce. V takomto prípade DPA zmluvu nepotrebujete.
3. Kedy teda DPA (ne)podpisovať?
Ak je predmetom zmluvy niečo, pri čom sa s osobnými údajmi vôbec nepracuje (napr. dodávka strojov, upratovanie, konzultácie), a jediný kontakt s údajmi je táto operatívna komunikácia, striktná zákonná povinnosť podpísať DPA zmluvu podľa článku 28 spravidla nevzniká.
Kedy stačí len doložka v hlavnej zmluve? Namiesto samostatnej DPA zmluvy je v takýchto prípadoch oveľa profesionálnejšie a jednoduchšie vložiť do vašej klasickej obchodnej zmluvy krátke ustanovenie o ochrane údajov. V ňom si vzájomne potvrdíte, že ste si vymenili kontakty na svojich zamestnancov a že s nimi budete narábať slušne, bezpečne a v súlade so zákonom.
Príklad z praxe: V zmluve s poradenskou firmou budete mať vetu: "Zmluvné strany si vzájomne poskytujú kontaktné údaje svojich zamestnancov výlučne za účelom operatívnej komunikácie pri plnení tejto zmluvy." To úplne stačí. Netreba kvôli trom manažérom vypracovávať 10-stranový dokument o bezpečnosti serverov.
4. Na čo si dať predsa len pozor?
Hranica sa láme v momente, kedy by partner získal prístup k niečomu viac. Ak by napríklad váš operatívny manažér povedal: "Tu máš prístup do nášho interného systému, tam si tie kontakty pozri sám," vtedy sa už partner stáva sprostredkovateľom (tzv. servisný prístup) a DPA je na stole.
Zhrnutie: Musíme to podpísať?
Ak je operatívna komunikácia len prostriedkom na dohodnutie technických detailov dodávky tovaru, obe strany zvyčajne vystupujú ako samostatní prevádzkovatelia. Každá firma spracúva kontaktné údaje zamestnancov partnera vo vlastných systémoch (napríklad v Outlooku alebo CRM) na svoje vlastné účely – aby vedela, komu má poslať faktúru alebo kedy príde kamión s tovarom.
Situácia sa dramaticky mení v momente, keď sa komunikácia stáva predmetom služby. Ak by sprostredkovateľ mal napríklad za úlohu operatívne riadiť tímy klienta cez týchto manažérov, alebo ak by mal prístup do interného komunikačného softvéru prevádzkovateľa, kde by boli tieto kontakty uložené, miera integrácie by mohla indikovať sprostredkovateľský vzťah.
Ak partner spracúva databázy vašich klientov alebo zamestnancov: ÁNO, DPA je povinná.
Ak partner len „e-mailuje“ s 2-3 vašimi ľuďmi, aby vedel dokončiť prácu: NIE, DPA nie je potrebná. Stačí vzájomné informovanie a krátka veta v hlavnej zmluve.
V konečnom dôsledku je ochrana osobných údajov v B2B vzťahoch o hľadaní rovnováhy medzi striktným dodržiavaním litery zákona a operatívnou efektivitou. Pri takom malom rozsahu dotknutých osôb (2-3 manažéri) je riziko nízke, ale právna čistota vzťahu, zabezpečená kvalitnou zmluvnou úpravou, je najlepšou prevenciou pred budúcimi komplikáciami. Na základe súčasných trendov v EÚ sa očakáva, že dozorné orgány budú čoraz viac vyžadovať písomné podchytenie aj takýchto "okrajových" spracovateľských činností, preto je proaktívny prístup k zmluvnej dokumentácii strategickou výhodou.
