GDPR a externe vedené účtovníctvo

Veľa podnikateľov v súčasnej dobe rieši mzdovú agendu a účtovníctvo prostredníctvom špecializovaných externých firiem. Ako sa európske nariadenie o ochrane GDPR v praxi dotýka externých účtovníkov a ich vzťahu s klientami?

Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, známe pod skratkou GDPR, upravuje povinnosti prevádzkovateľov, sprostredkovateľov a práva dotknutých osôb. Nové pravidlá ochrany osobných údajov účinné od konca mája 2018 sa vzťahujú na každého, kto pri svojom podnikaní pracuje s osobnými údajmi. To znamená, že sa týkajú každého podnikateľa, ktorý spracúva osobné údaje, a to bez ohľadu na ich množstvo. Zo zákona sú podnikatelia povinní chrániť osobné údaje dotknutých osôb (napr. zamestnancov).

Úlohou účtovníka, resp. účtovníckej firmy je viesť účtovníctvo danej účtovnej jednotky. Môže ísť o interné alebo externé vedenie účtovníctva. V obidvoch prípadoch však dochádza k spracúvaniu osobných údajov fyzických osôb, ktoré sa nachádzajú napríklad v účtovných dokladoch, zmluvách, faktúrach či formulároch.

Podnikateľ (zamestnávateľ), ktorý si chce nechať spracovávať účtovníctvo externou formou, musí postupovať v súlade s GDPR. K tomu síce nepotrebuje súhlas svojich zamestnancov, ale musí si vybrať takého externého účtovníka, ktorý mu dá dostatočnú záruku, že prijme primerané technické a organizačné opatrenia tak, aby spracúvanie osobných údajov spĺňalo požiadavky GDPR a aby sa zabezpečila ochrana práv dotknutých osôb. Nariadenie GDPR sa teda dotýka nielen samotného zamestnávateľa, ale aj jeho externého účtovníka (t.j. fyzickej alebo právnickej osoby, ktorá vykonáva účtovníctvo podľa zákona o účtovníctve).

Aké postavenie má podľa GDPR externý účtovník?

Pri ochrane osobných údajov je potrebné rozlišovať dva subjekty – prevádzkovateľa a sprostredkovateľa.

Prevádzkovateľom je fyzická alebo právnická osoba, ktorá spracúva osobné údaje vo vlastnom mene (napr. zamestnávateľ sám spracúva osobné údaje svojich zamestnancov na účel plnenia povinností súvisiacich s pracovným pomerom).

Naopak, sprostredkovateľom je fyzická alebo právnická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa (napr. účtovník, resp. účtovnícka firma vedie účtovníctvo a mzdovú agendu pre inú firmu).

Externý účtovník má podľa GDPR postavenie sprostredkovateľa.

Jednoducho povedané, ak účtovník alebo účtovnícka firma externe vykonáva účtovníctvo či mzdovú agendu pre iného podnikateľa (napr. pre stavebnú firmu), čím spracúva osobné údaje zamestnancov tohto podnikateľa, v zmysle GDPR postavenie sprostredkovateľa. Takýto externý účtovník ako sprostredkovateľ teda spracúva osobné údaje dotknutých osôb nie pre seba, ale pre inú osobu, t. j. pre prevádzkovateľa, spravidla ako pre svojho klienta. Nič však nebráni tomu, aby takáto účtovnícka firma nemohla byť súčasne aj prevádzkovateľom (napr. pri spracúvaní svojho účtovníctva a mzdovej agendy vlastných zamestnancov – tzv. interné účtovníctvo).

Na základe čoho môže externý účtovník spracúvať osobné údaje dotknutých osôb ?

Vo všeobecnosti platí, že prevádzkovateľ môže poveriť spracúvaním osobných údajov sprostredkovateľa. Poverenie sa vykonáva osobitnou zmluvou.

Konkrétne to znamená, že spracúvanie účtovníctva externým účtovníkom v pozícii sprostredkovateľa sa podľa európskeho nariadenia musí realizovať na základe špeciálnej zmluvy uzatvorenej medzi prevádzkovateľom a sprostredkovateľom (tzv. sprostredkovateľská zmluva). Súhlas dotknutých osôb na spracúvanie ich osobných údajov externým účtovníkom sa nevyžaduje.

Externý účtovník musí s prevádzkovateľom uzatvoriť osobitnú zmluvu.

Po uzavretí sprostredkovateľskej zmluvy môže externý účtovník začať spracúvať osobné údaje zamestnancov prevádzkovateľa, ale len v rozsahu a za podmienok dohodnutých v zmluve a len na základe pokynov prevádzkovateľa.

Účel spracúvania osobných údajov si externý účtovník nikdy neurčuje sám, určí mu ho prevádzkovateľ. Účelom je vedenie účtovníctva, a teda spracovanie účtovných dokladov, prípadne vedenie mzdovej agendy.

Príklad: Firma STAV s.r.o. si najala externú účtovníckou kanceláriu ÚČTO s.r.o. za účelom spracúvania účtovníctva a mzdovej agendy jej zamestnancov. Na to, aby ÚČTO s.r.o. mohla v súlade s GDPR spracúvať osobné údaje zamestnancov STAV s.r.o., je nutné uzavretie sprostredkovateľskej zmluvy medzi STAV s.r.o. ako prevádzkovateľom a ÚČTO s.r.o. ako sprostredkovateľom. Následne, najskôr v deň uzavretia zmluvy, môže ÚČTO s.r.o. na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy spracúvať osobné údaje zamestnancov STAV s.r.o., a to bez ich súhlasu.

Článok pokračuje pod reklamou

Základné povinnosti externého účtovníka podľa GDPR

GDPR zakotvuje viaceré povinnosti externého účtovníka v postavení sprostredkovateľa. Medzi tie najdôležitejšie možno zaradiť:

  1. Povinnosť chrániť spracúvané osobné údaje

Tak ako prevádzkovateľ aj externý účtovník v pozícii sprostredkovateľa má v zmysle GDPR povinnosť chrániť osobné údaje, ktoré spracúva. Preto musí vždy zohľadniť riziká spojené so spracúvaním osobných údajov (napr. náhodné alebo nezákonné zničenie, strata, zmena, osobných údajov alebo neoprávnený prístup k nim).

  1. Povinnosť viesť záznamy o spracovateľských činnostiach (čl. 30 bod 2 GDPR)

Ak externý účtovník vedie účtovníctvo pre zamestnávateľa, ktorý zamestnáva viac ako 250 zamestnancov, musí viesť záznamy o spracovateľských činnostiach (o všetkých kategóriách spracovateľských činností), ktoré vykonal v mene tohto zamestnávateľa. Ak vykonáva účtovníctvo pre viacero takýchto podnikateľov, musí záznamy viesť pre každého z nich zvlášť. Pri nižšom počte zamestnancov síce táto povinnosť neplatí, no napriek tomu môže externý účtovník viesť záznamy dobrovoľne. Je to praktické z hľadiska orientovania sa v spracúvaní osobných údajov a súčasne si tým „kryje chrbát“ pri prípadnom preukazovaní plnenia svojich povinností. Záznamy o spracovateľských činnostiach je potrebné viesť v písomnej podobe vrátane elektronickej podoby. V prípade kontroly zo strany Úradu na ochranu osobných údajov SR bude externý účtovník povinný poskytnúť tieto záznamy.

  1. Povinnosť oznámiť prevádzkovateľovi porušenie ochrany osobných údajov (čl. 33 bod 2 GDPR)

Európske nariadenie zaviedlo pre sprostredkovateľov novú povinnosť - oznámiť bezpečnostné incidenty prevádzkovateľovi. Externý účtovník tak musí každé porušenie ochrany osobných údajov, ktoré spracúva, oznámiť prevádzkovateľovi, a to bezodkladne, hneď ako sa o porušení dozvedel. V oznámení by mal najmä uviesť k akému porušeniu došlo, ktorých osobných údajov sa poručenie týka a pod.

  1. Povinnosť spolupracovať s Úradom na ochranu osobných údajov SR (čl. 31 GDPR)

Externý účtovník musí na požiadanie spolupracovať s dozorným orgánom pri výkone jeho úloh. Dozorným orgánom je Úrad na ochranu osobných údajov SR.

  1. Povinnosť vymazať alebo vrátiť osobné údaje prevádzkovateľovi

V prípade ukončenia poskytovania služieb externého účtovníctva je externý účtovník povinný vymazať/zlikvidovať všetky osobné údaje (vrátane kópií), ktoré spracúval alebo ich vrátiť prevádzkovateľovi. Konkrétne podmienky ukončenia spolupráce je potrebné dohodnúť vopred v sprostredkovateľskej zmluve.

  1. Povinnosť zachovávať mlčanlivosť (§ 79 nového zákona o ochrane osobných údajov)

V neposlednom rade musí externý účtovník zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Táto povinnosť trvá aj po ukončení spolupráce s prevádzkovateľom.

Sankcie za porušenie povinností externého účtovníka

Nový zákon o ochrane osobných údajov ustanovuje za porušenie povinností nemalé pokuty. To sa týka aj porušenia povinností externým účtovníkom v pozícií sprostredkovateľa.

Napríklad, ak externý účtovník poruší povinnosť viesť záznamy o spracovateľských činnostiach, povinnosť oznámiť prevádzkovateľovi bezpečnostný incident či povinnosť mlčanlivosti, môže mu úrad uložiť pokutu až do výšky 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Viac podobných článkov nájdete na www.podnikajte.sk


Čo (nie) je osobný údaj? Je ním fotografia, telefónne číslo alebo názov firmy?

Čo patrí medzi osobné údaje a čo nie nám prezradila senior právna expertka Lucia Semančínová z advokátskej kancelárie SEMANČÍN & PARTNERS.

GDPR v praxi – najčastejšie otázky

Vy sa pýtate, my odpovedáme. V rámci našej poradne Podnikajte s odborníkmi ste nám zaslali otázky k GDPR, teda nariadeniu o ochrane osobných údajov, ktoré je už rok v platnosti. Na otázky odpovedala senior právna expertka Lucia Semančínová z advokátskej kancelárie SEMANČÍN & PARTNERS.

Kontrola dodržiavania GDPR

Ako prebieha kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov? Koľko kontrol bolo od účinnosti európskeho nariadenia vykonaných a aké, čo bude predmetom predmetom kontrol v roku 2019?

GDPR po roku: Ako sa e-shopy vysporiadali so zmenami?

Od 25. mája minulého roka je účinné nariadenie Európskej únie o ochrane osobných údajov známe pod skratkou GDPR. Ako firmy hodnotia tieto zavedené zmeny po roku?