Finanční správa: Pro zpracování údajů o zaměstnancích podle GDPR jejich souhlas nepotřebujete

Zpracování údajů o zaměstnancích

To, co jsme popisovali už v našem dubnovém článku o GDPR, nedávno potvrdilo i Generální finanční ředitelství. Jako zaměstnavatel a plátce daně pro zpracování osobních údajů pro účely daňové a mzdové agendy souhlas svých zaměstnanců nepotřebujete. Proč tomu tak je? A jsou v tom nějaké háčky? Pojďme sdělení finanční správy projít podrobněji.

Nařízení Evropského parlamentu o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (známé pod zkratkou GDPR) v článku 6 jasně hovoří o tzv. zákonném zpracování osobních údajů. Zpracování je podle něj zákonné, “je-li nezbytné pro splnění právních povinností, která se na správce dat vztahuje”. V našem případě se bavíme o zaměstnavateli jako plátci daně ze závislé činnosti a subjektu zodpovědném za vedení mzdové agendy. A právě k takovémuto zákonnému zpracování osobních údajů souhlas zaměstnanců nepotřebujete.

Jaké údaje může zaměstnavatel zpracovávat bez souhlasu?

V podstatě jsou to všechny ty, které potřebuje k vedení mzdové agendy a plnění zákonných povinností uložených plátci daně ze závislé činnosti. Abychom ale byli konkrétnější, jedná se především o:

  • Informace na podkladech, kterými zaměstnanec zaměstnavateli prokazuje nárok na nezdanitelné části základu daně, slevu na dani a daňové zvýhodnění. Způsob prokazování je jasně stanoven § 38l zákona o daních z příjmů a týká se i tiskopisu Prohlášení poplatníka daně z příjmů fyzických osob ze závislé činnosti (upravuje ho § 38k stejného zákona) .
  • Informace na mzdových listech, které je zaměstnavatel povinen pro každého zaměstnance vést podle § 38j odst. 1 zákona o daních z příjmů. Toto ustanovení také jasně určuje, jaké údaje musí mzdový list obsahovat (např. jméno, rodné číslo či bydliště).

Na fotokopie pozor

Generální finanční ředitelství ale zároveň upozorňuje na nakládání s fotokopiemi, které zaměstnavateli slouží jako důkazní prostředek v jednání s finančním úřadem. Pokud tyto dokumenty obsahují informace nad rámec povinností stanovených zákonem, měly by být podle finanční správy buďto začerněny, nebo byste k jejich uchování měli od zaměstnance mít jasně daný souhlas. Z našeho pohledu zde ovšem vyvstává riziko pozdějšího napadení důkazní síly a věrohodnosti takto upravených listin ze strany správce daně.

Všechna data musí být zabezpečená

To, že ke zpracování informací nemusíte mít souhlas, ještě neznamená, že se jich GDPR netýká. Jako správce osobních údajů o svých zaměstnancích musíte dbát na to, abyste je pomocí technických, organizačních a jiných potřebných zařízení měli dostatečně zabezpečené před případným zneužitím.

A je přitom jedno, jestli máte doklady uchovány ve fyzické formě, nebo elektronicky, jak to umožňuje například vedení mzdové evidence. Ostatně, i prohlášení k dani mohou poplatníci předkládat jak v listinné, tak v elektronické formě.

Co když zaměstnanec informace nechce poskytnout?

Samozřejmě se může stát, že vám zaměstnanec podklady pro prohlášení nedodá, nebo dodat odmítne. Zákon přitom jasně stanovuje, že daňovým subjektem, který má důkazní břemeno vůči správci daně, je vždy plátce daně z příjmů fyzických osob ze závislé činnosti. Pokud vám ale zaměstnanec podklady jako důkaz o uplatňovaných slevách na dani, nezdanitelných částech základu daně a daňovém zvýhodnění neposkytne, můžete je považovat za neprokázané. V takovém případě nezohledníte slevu či daňového zvýhodnění ve výpočtu mzdy zaměstnance. Ten si je pak může uplatnit sám prostřednictvím daňového přiznání.

Potřebujete poradit s daněmi a GDPR? Obraťte se na nás