GDPR: Revoluce v ochraně osobních dat v účetnictví. A nebo ne?

V květnu letošního roku začne platit nové nařízení Evropské Unie zaměřené na ochranu osobních dat. Na zkratku GDPR (General Data Protection Regulation) jste už asi narazili, mnoho podnikatelů si ale stále nedokáže představit, co pro ně bude vlastně znamenat. Jedná se opravdu o tak velkou revoluci, jak se vám snaží namluvit média a různí školitelé? A co bude znamenat pro účetní a mzdovou agendu? Pojďme se na to podívat blíže.

Spíše evoluce než revoluce

Je samozřejmostí, že jako podnikatel ve svém účetnictví pracujete s daty, které nová norma pokládá za osobní. Ať už jde o informace o vašich zaměstnancích, obchodních partnerech či zákaznících. Podle GDPR musí být tato data náležitě chráněna a nakládat je s nimi potřeba tak, aby nemohlo dojít k jejich úniku.

Oproti dosavadnímu nařízení EU ale nejde o žádnou skokovou změnu. Tato data jste museli chránit i předtím, jinak byste porušovali zákon. Nový předpis vychází z původní směrnice 95/46/ES a do značné míry ji jen upřesňuje. Výraznější novinkou jsou tak některé povinnosti pro podnikatele jako pro správce dat – např. ohlašování případného úniku osobních údajů dozorovému úřadu a subjektům, kterých se tyto údaje týkají. V některých případech musí také správce jmenovat pověřenou osobu pro ochranu osobních údajů.

Když se na vše podíváme z druhé strany, tedy z pohledu osoby, které se data týkají, i v tomto případě norma přináší spíše upřesnění. Zákazníci či zaměstnanci mají právo vyžádat si všechny informace, které o nich máte uloženy, a mohou po vás chtít, abyste tato data vymazali (nařízení to nově uvádí pod názvem “právo být zapomenut”). Stejná práva měli už ale i dříve. Největší novinkou z pohledu zákazníka je tak právo na přenositelnost všech údajů k jinému subjektu (např. k jinému dodavateli).

Z pohledu účetnictví však nikdy nebudete moci vymazat veškerá data. Část z nich musíte dle jiných evropských i tuzemských předpisů povinně uchovávat (např. v účetních dokladech).

Musím mít ke zpracování údajů souhlas?

Pokud se nebudeme bavit o osobních údajích využívaných pro marketingové a prodejní účely, souhlas mít nemusíte. Jednou ze zásad GDPR je totiž “zákonnost”. Jinými slovy souhlas ke zpracování nevyžaduje, pokud je:

• zpracování osobních údajů nezbytné pro splnění smlouvy, kterou máte uzavřenou se subjektem údajů,
• zpracování nezbytné pro splnění právní povinnosti uložené jiným právním předpisem (to se týká např. údajů o zaměstnancích a informací uchovávaných na základě zákona o DPH nebo zákona o účetnictví apod.),
• zpracování osobních údajů nezbytné pro účely oprávněných zájmů správce,
• zpracování osobních údajů nezbytné pro ochranu životně důležitých zájmů subjektu údajů a pro splnění úkolů prováděného ve veřejném zájmu.

Z výše uvedeného je jasně patrné, že ke zpracování a uchovávání údajů v rámci účetnictví žádný zvláštní souhlas potřebovat nebudete.

Co když vám účetnictví vede externí účetní nebo účetní kancelář?

GDPR rozlišuje mezi správcem dat (vy jako podnikatel a majitel dat) a zpracovatelem dat. Za toho je označen subjekt, který data zpracovává, využívá a má k nim tedy přístup. Pokud vám účetnictví vede externí účetní kancelář, pak je zpracovatelem nejen podnikatel, ale i účetní kancelář.

Co to pro obě strany znamená? Pokud mezi sebou máte jasně nastavené procesy a kvalitně napsanou smlouvu, opět celkem nic nového. Jen dejte pozor na to, aby kontrakt jasně stanovoval, s jakými daty vašich zákazníků, zaměstnanců a obchodních partnerů a jakým způsobem může účetní kancelář nakládat

Jak tedy na GDPR v účetnictví?

Je velmi pravděpodobné, že v rámci stávající legislativy už děláte vše potřebné. Pojďme si to tedy pro jistotu ještě shrnout:

• Máte nastavené a jasně popsané procesy zpracování a uschování dat, včetně informací, kdo všechno k nim má přístup.
• Máte přehled o tom, jaký druh dat uchováváte, kdy a jak s nimi bylo nakládáno (to vám většinou umožní zjistit váš účetní program).
• Data o vašich zaměstnancích, zákaznících i obchodních partnerech máte dostatečně zabezpečená.
• Je stanovena pověřená osoba, která má ochranu dat na starosti.
• Jste připraveni v zákonné lhůtě nahlásit případný únik dat dozorovému orgánu i subjektu dat.
• Stejně tak jste připraveni osobě, o které data uchováváte, v zákonné lhůtě 30 dnů sdělit, jaké údaje o ní máte, tyto informace (nebo jejich část – v souladu s dalšími zákony) na její žádost vymazat nebo je přenést k jinému subjektu.
• Pokud využíváte služeb externího účetního nebo účetní kanceláře, máte s ním uzavřenou smlouvu, která mimo jiné vyjasňuje to, s jakými daty a jak může nakládat.

Potřebujete s GDPR v účetnictví poradit? Kontaktujte nás