GDPR a smlouvy: co musí každá smlouva obsahovat (česká praxe)

GDPR (Obecné nařízení o ochraně osobních údajů, EU 2016/679) je v Česku doplněné zákonem č. 110/2019 Sb. o zpracování osobních údajů. Smlouvy nereguluje přímo, ale rozhoduje o tom, kdo je odpovědný za úniky, co musí být zákazníkovi sděleno a kdy potřebuješ samostatnou zpracovatelskou smlouvu (DPA).

Správce vs. zpracovatel

Klíčové rozlišení celého GDPR:

• Správce (čl. 4 odst. 7) — určuje účel a prostředky zpracování. Typicky: e-shop, který sbírá data zákazníků.
• Zpracovatel (čl. 4 odst. 8) — zpracovává osobní údaje jménem správce. Typicky: účetní kancelář, externí CRM, e‑mailing software, hosting.

Jeden subjekt může být zároveň správcem (svých zákazníků) a zpracovatelem (cizích zákazníků). Účetní kancelář je vůči svým klientům zpracovatelem; vůči svým vlastním zaměstnancům je správcem.

Kdy potřebuješ zpracovatelskou smlouvu (DPA)

Pokaždé když někdo zpracovává osobní údaje jménem tebe (nebo ty jejich), musíte mít DPA podle čl. 28 GDPR. Typické situace:

• Hostujete data v cloudu (AWS, Hetzner, Vercel) — máte DPA s poskytovatelem;
• Posíláte e-maily přes Mailgun / SendGrid — DPA s nimi;
• Účetní zpracovává faktury vašich zákazníků — DPA;
• Outsourcing zákaznické podpory — DPA;
• Externí grafik dostane databázi e-mailů pro vytvoření letáku (i jednorázově) — DPA.

DPA neuzavíráš se zaměstnanci (nejsou zpracovatelé v GDPR smyslu — interní záležitost). Neuzavíráš ji ani s druhým správcem, který jen sdílí společný účel — pak je to společné správcovství (čl. 26).

Co musí DPA obsahovat (čl. 28 GDPR)

1. Předmět a doba zpracování;
2. Povaha a účel zpracování (např. „vystavování faktur dle zákona o účetnictví");
3. Druh osobních údajů a kategorie subjektů (jména, adresy, IČO; klienti správce);
4. Povinnosti zpracovatele: mlčenlivost, technická a organizační opatření (šifrování, přístupová práva), spolupráce při auditech;
5. Sub-zpracovatelé: kdo jsou (typicky hostingová služba zpracovatele), souhlas správce s jejich zapojením;
6. Práva subjektů údajů: jak zpracovatel pomůže správci s odpověďmi na žádosti subjektů (právo na výmaz, opravu, přístup);
7. Oznamování porušení (úniků): zpracovatel oznámí správci do 24-72 hodin od zjištění (ne 72 hodin obecně — to je limit pro správce vůči ÚOOÚ);
8. Po skončení smlouvy: vrátit nebo smazat data (na volbu správce);
9. Audit a inspekce: správce má právo ověřit plnění povinností zpracovatele (typicky výroční dotazník nebo audit přímo na místě).

Co patří do běžné smlouvy bez DPA

I když nepotřebuješ formální DPA, v běžné smlouvě (smlouva o dílo, smlouva o spolupráci) bys měl/a ošetřit:

• Klauzule o mlčenlivosti — pokrývá i osobní údaje, které se mezi stranami vymění (typicky kontaktní údaje zástupců);
• Pověřenec pro ochranu osobních údajů (DPO), pokud ho máš — uveď kontakt;
• Postup při úniku (i když nejsi zpracovatel — vzájemná spolupráce, oznamovací povinnost);
• Jurisdikce sporů ohledně GDPR — typicky ČR / EU; uvedení dozorového úřadu (ÚOOÚ).

Práva subjektů a jejich dopad na smlouvy

GDPR dává subjektům 8 práv (čl. 12–22). Z hlediska smluv jsou klíčová tři:

1. Právo na výmaz (čl. 17): smlouva musí umožňovat smazání osobních údajů po skončení účelu zpracování. Standardní klauzule: „Po skončení smlouvy zpracovatel údaje smaže do 30 dnů, kromě údajů, které je povinen archivovat podle zákona o účetnictví (10 let)."
2. Právo na přístup (čl. 15): pokud subjekt chce vidět svoje data, správce ti tu informaci musí poskytnout do 30 dnů. Smlouva by měla říct, jak žádost převedeš na zpracovatele a jak ti pomůže.
3. Právo na přenositelnost (čl. 20): subjekt si může vyžádat data ve strojově čitelném formátu. Méně časté, ale u SaaS služeb relevantní (musíš dát uživatel-export ve formátu JSON nebo CSV).

Úniky dat — oznamovací povinnost

Únik (porušení zabezpečení) musí správce oznámit ÚOOÚ do 72 hodin od zjištění (čl. 33), pokud existuje riziko pro práva subjektů. Pokud je riziko vysoké, musí informovat i subjekty (čl. 34) — typicky e-mailem.

Zpracovatel oznamuje správci bez zbytečného odkladu (čl. 33 odst. 2) — typicky do 24 hodin, aby správci zbyl čas na vlastní oznámení ÚOOÚ. V DPA si proto sjednejte konkrétní lhůtu (často 24 hodin).

GDPR checklist pro OSVČ

Minimum, které potřebuješ udělat jako freelancer:

1. ✅ Zásady ochrany osobních údajů na svém webu (popis toho, jaká data sbíráš a proč);
2. ✅ Záznam o činnostech zpracování (jednoduchý dokument, kdo jsi, jaká data zpracováváš a proč). Není veřejný, ale ÚOOÚ ho při kontrole požaduje;
3. ✅ DPA se všemi cloud službami, které zpracovávají data tvých klientů (e-mail provider, hosting, fakturační systém);
4. ✅ Klauzule v každé smlouvě s klientem o tom, jak budeš s daty nakládat;
5. ✅ Zabezpečení: silná hesla, 2FA, šifrované backupy, omezený přístup k databázím.

Vygeneruj DPA za 2 minuty

Místo abys hledal vzor DPA na různých webech (a riskoval, že bude zastaralý), využij naši zpracovatelskou smlouvu jako šablonu. Najdeš ji na našem webu na zpracovatelská smlouva — můžeš si ji vzít jako referenční vzor a vlastní upravit podle této struktury. Nebo nahraj svou Word verzi do Dokumentomatu a vygeneruj DPA pro konkrétního klienta klik-a-vyplnit.

Časté otázky

Můžu být zároveň správce i zpracovatel?

Ano, vůči různým subjektům. Účetní je zpracovatel vůči klientům (zpracovává jejich data jménem klienta) a správce vůči svým vlastním zaměstnancům. Vždy hodnotíš podle konkrétního toku dat.

Týká se GDPR i malé OSVČ s pár klienty?

Ano, GDPR nemá výjimku pro malé subjekty. Jediná úleva je v jednodušším režimu záznamů u podniků s méně než 250 zaměstnanci, pokud zpracování není rizikové (čl. 30 odst. 5). V praxi pro OSVČ stejně udělej minimální záznam — je to 1 stránka A4.

Musím dělat každoroční audit GDPR?

Audit jako takový GDPR nevyžaduje, ale vyžaduje průběžné posuzování rizik a aktualizaci opatření. Praktický doporučený rytmus pro malou firmu: jednou ročně 30 minut nad záznamy o zpracování, ověření, že máš DPA se všemi novými dodavateli, kontrola, že staré údaje jsi vymazal po skončení účelu.

Závěr

GDPR není o tom mít 50 stran právních dokumentů. Je o zodpovědném zacházení s daty a o tom, že máš písemně, jak to děláš. Pro OSVČ to znamená:

• 1 stránka záznamů o zpracování;
• DPA se všemi dodavateli zpracovávajícími osobní údaje;
• Klauzule o GDPR v každé smlouvě s klientem;
• Aktualizace zásad ochrany osobních údajů na webu.

Pokud máš všechno tohle, jsi v 90 % případů v pohodě i při kontrole. Začni teď.