Proč je outsourcing podpory právně citlivější, než se zdá
Zákaznická podpora dnes běžně pracuje s údaji, které jsou z pohledu práva i bezpečnosti velmi citlivé: jméno, e-mail, telefon, adresa, číslo objednávky, historie reklamací, někdy i platební údaje nebo zdravotní informace. Jakmile tuto agendu předáte do jiné země, nevzniká jen provozní vztah, ale také předání osobních údajů třetí straně a často i přeshraniční zpracování.
Podle GDPR může být za chybu externího poskytovatele stále odpovědný správce, tedy váš web nebo firma. To je zásadní: i když podporu fakticky dělá někdo jiný, zákazník, úřad i soud se budou nejdřív dívat na vás. V praxi to znamená, že nestačí „mít smlouvu“, ale je nutné prokazatelně řídit celý řetězec zpracování, přístupy, školení a auditovatelnost.
GDPR a předávání dat mimo EU: nejčastější problém
Pokud outsourcing míří do zemí mimo Evropský hospodářský prostor, je třeba řešit transfer mechanismus. U poskytovatelů v USA se typicky používají Standard Contractual Clauses (SCC), ale samy o sobě nestačí. Po rozhodnutí Schrems II je nutné posoudit i právní prostředí cílové země a zavést doplňková opatření, například šifrování, minimální přístupová práva nebo pseudonymizaci.
V rámci EU je situace jednodušší, ale ne bez rizika. I evropský provider může používat subdodavatele mimo EU nebo cloudové nástroje hostované v třetích zemích. Proto je potřeba zmapovat celý datový tok: kde se data ukládají, kdo k nim má přístup, jak dlouho se logují a zda se přenášejí do CRM, ticketingu nebo voice platformy.
- Kontrolujte DPA (zpracovatelskou smlouvu) a seznam subzpracovatelů.
- Požadujte SCC, pokud dochází k transferu mimo EU/EHP.
- Minimalizujte data – support nepotřebuje celé rodné číslo ani kompletní platební údaje.
- Oddělte systémy pro běžné dotazy a citlivé případy.
Smluvní nastavení: co musí být ve smlouvě, aby vás chránilo
V outsourcingu podpory nestačí rámcová objednávka nebo e-mailová dohoda. Smlouva by měla přesně definovat rozsah služeb, odpovědnost, SLA, bezpečnostní standardy, práva k datům i postup při incidentu. Bez toho je vymáhání náhrady škody nebo sankcí velmi složité.
Prakticky doporučuji rozdělit dokumentaci do tří vrstev: hlavní smlouva, DPA a bezpečnostní příloha. V bezpečnostní příloze uveďte například povinnost používat firemní zařízení, zákaz sdílení účtů, povinné MFA, logování přístupů, retenční dobu tiketů a lhůtu pro hlášení incidentů.
U SLA nenechávejte jen obecné fráze typu „rychlá reakce“. Měřte konkrétně: první odpověď do 15 minut u priority P1, do 2 hodin u P2, dostupnost 99,5 %, míra vyřešení na první kontakt, eskalace do 30 minut. Pokud support obsluhuje e-shop, je vhodné navázat i finanční sankce na nedodržení dostupnosti v sezóně.
Na co si dát pozor v odpovědnosti
Častá chyba je, že smlouva přenese odpovědnost za vše na dodavatele, ale bez reálné možnosti kontroly. To bývá právně slabé a provozně nefunkční. Lepší je definovat:
- kdo je správce a kdo zpracovatel,
- kdo schvaluje skripty a odpovědi zákazníkům,
- jak se řeší reklamace a vrácení peněz,
- kdo odpovídá za škodu způsobenou chybnou informací,
- jak probíhá ukončení spolupráce a předání dat.
Praktická bezpečnost: přístupy, školení a kontrola operátorů
Největší riziko často nevzniká ve smlouvě, ale v každodenním provozu. Operátor může omylem poslat citlivé údaje špatnému zákazníkovi, uložit si data lokálně nebo pracovat přes nezabezpečenou Wi‑Fi. Proto je nutné nastavit bezpečnostní režim jako u interního týmu, ne jako u „levnější externí služby“.
Minimální standard by měl zahrnovat SSO nebo alespoň MFA, individuální účty, zákaz sdílených loginů, pravidelnou rotaci hesel a omezení exportů z CRM. Pokud support pracuje s telefonáty, zvažte maskování citlivých údajů v záznamech a nahrávání hovorů jen v rozsahu nutném pro kvalitu a právní obranu.
Velmi užitečné jsou nástroje pro řízení přístupů a audity, například Microsoft Entra ID, Okta, 1Password Business, Jira Service Management, Zendesk nebo Freshdesk s přísně nastavenými rolemi. Pro monitoring incidentů a logů se hodí SIEM nástroje typu Splunk nebo Microsoft Sentinel, zejména pokud support pracuje s větším objemem osobních údajů.
Reálné scénáře, kde firmy chybují nejčastěji
Typický problém vidíme u e-shopů, které outsourcují podporu do země mimo EU a zároveň nechají operátory přistupovat do kompletního CRM. Operátor pak vidí kompletní nákupní historii, adresy i poznámky z reklamací, přestože pro vyřízení dotazu potřebuje jen číslo objednávky a stav doručení. Tím dochází k porušení principu minimalizace dat.
Další častý scénář je používání obecného helpdesku bez oddělení právních případů. Pokud zákazník reklamuje závadu, odstoupení od smlouvy nebo požaduje výmaz údajů, support často předá informaci do špatného interního procesu nebo ji zpracuje pozdě. To může znamenat prodlení vůči zákonným lhůtám i zbytečné stížnosti u úřadů.
U firem s mezinárodní podporou se objevuje i problém s jazykovou a právní konzistencí. Operátor v jiné zemi může zákazníkovi potvrdit něco, co není v souladu s obchodními podmínkami nebo místní legislativou. Proto je potřeba mít schválené odpovědi, znalostní bázi a eskalační strom pro citlivé dotazy.
Jak nastavit kontrolu a audit, aby outsourcing nebyl slepá skříňka
Bez průběžné kontroly je outsourcing vždycky rizikový. Minimálně jednou za kvartál udělejte audit přístupů, kontrolu ticketů a náhodný sampling komunikace. Z pohledu GDPR i interní bezpečnosti je vhodné vést záznamy o školení, testech znalostí a incident managementu.
Praktický postup může vypadat takto:
- před spuštěním provedete DPIA nebo alespoň rizikovou analýzu,
- nastavíte seznam povolených dat a zakázaných datových polí,
- zavedete schvalování šablon odpovědí a eskalací,
- měříte počet incidentů, dobu reakce a chybovost operátorů,
- každý incident uzavíráte zápisem s nápravnými opatřeními.
U větších provozů se osvědčuje kombinace nástrojů Zendesk nebo Intercom pro podporu, Google Workspace nebo Microsoft 365 pro řízení dokumentace a Notion či Confluence pro interní znalostní bázi. Důležité je, aby všechny změny byly auditovatelné a aby bylo možné doložit, kdo kdy co schválil.
Kdy outsourcing dává smysl a kdy je lepší držet podporu doma
Outsourcing je vhodný zejména pro rutinní dotazy, sezónní špičky, jazykové mutace a 24/7 provoz. Naopak citlivé agendy, jako jsou reklamace s právním dopadem, vratky s vyšší hodnotou, sporové případy nebo práce s citlivými osobními údaji, je často lepší ponechat interně nebo alespoň pod přímým dohledem.
Rozhodovacím kritériem by neměla být jen cena za hodinu operátora. Započítejte i náklady na právní dokumentaci, bezpečnostní opatření, audit, školení, incident response a případné sankce. U některých firem se až po započtení těchto položek ukáže, že „levnější“ zahraniční support je ve výsledku dražší než dobře řízený interní tým nebo nearshore partner v EU.
Pokud chcete outsourcing podchytit správně, začněte mapou dat, pokračujte smlouvami a bezpečnostními pravidly a teprve potom řešte provozní kapacitu. Jakmile je nastavený přístup, logování, školení a jasné SLA, může být zahraniční zákaznická podpora velmi efektivní. Bez těchto kroků ale riskujete nejen pokutu, ale i ztrátu důvěry zákazníků, která se obvykle obnovuje mnohem pomaleji než samotný support.
