Co se týče zpracování osobních údajů zaměstnanců v souvislosti se zpracováním mezd, jedná se o zpracování, které je ze zákona povinné a vyplývá z pracovněprávního vztahu. Z toho důvodu se jedná o zpracování, které nepodléhá souhlasu zaměstnance.

Na druhou stranu zde ale stále platí informační povinnost, kterou jste vůči zaměstnanci vázáni. Je třeba zaměstnance informovat nejenom o tom, jaké osobní údaje za účelem zpracování jeho mezd potřebujete, ale také o tom, že je nezpracováváte sami a že za tímto účelem máte najatou externí firmu. Zde doporučujeme výslovně uvést, jaká firma tyto údaje zpracovává. Pro usnadnění informování v případě častých změn je možné informovat zaměstnance s tím, že případné aktualizace informací (změna externí firmy) budou umístěny na nějakém veřejném místě, například na webu.

Nestačí však jen splnit informační povinnost vůči zaměstnanci, je třeba také ošetřit vztah s externí společností - buď v rámci obchodní smlouvy o spolupráci, nebo v rámci samostatného ujednání, kdy uzavřete smlouvu o zpracování osobních údajů. Obsah této smlouvy vymezuje čl. 28 Nařízení, obecně by měl být následující: (i) předmět - rozsah osobních údajů, (ii) doba trvání zpracovávání údajů, (iii) povaha a účel zpracování osobních údajů, (iv) kategorie subjektů údajů a (v) práva a povinnosti správce (které Nařízení konkrétně uvádí).

Ve smlouvě by se dále mělo také uvést, že zpracovatel (i) bude jednat jen podle pokynů správce, (ii) bude povinen zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, (iii) bude správci pomáhat v plnění povinností podle této části, (iv) podle rozhodnutí správce po ukončení své činnosti osobní údaje předá správci nebo je zlikviduje, ledaže zákon ukládá jiný postup, a (v) poskytne správci informace nezbytné pro doložení splnění povinností. Zpracovatel bude také muset (vi) vést písemné přehledy o všech typových činnostech zpracování.

Zpracovatel se musí ve smlouvě zavázat k přijetí všech opatření, požadovaných dle čl. 32 Nařízení. Vzhledem k tomu, že čl. 33 odst. 2 stanovuje povinnost zpracovatele hlásit správci porušení zabezpečení osobních údajů, je vhodné ve zpracovatelské smlouvě popsat i mechanismus hlášení bezpečnostních incidentů.

Zpracovatelskou smlouvu je možné uzavřít nejenom písemně, ale také v elektronické podobě - vždy však tak, aby její existence byla prokazatelná.