GDPR a externe vedené účtovníctvo

GDPR a externe vedené účtovníctvo

Veľa podnikateľov v súčasnej dobe rieši mzdovú agendu a účtovníctvo prostredníctvom špecializovaných externých firiem. Ako sa európske nariadenie o ochrane GDPR v praxi dotýka externých účtovníkov a ich vzťahu s klientami?

Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, známe pod skratkou GDPR, upravuje povinnosti prevádzkovateľov, sprostredkovateľov a práva dotknutých osôb. Nové pravidlá ochrany osobných údajov účinné od konca mája 2018 sa vzťahujú na každého, kto pri svojom podnikaní pracuje s osobnými údajmi. To znamená, že sa týkajú každého podnikateľa, ktorý spracúva osobné údaje, a to bez ohľadu na ich množstvo. Zo zákona sú podnikatelia povinní chrániť osobné údaje dotknutých osôb (napr. zamestnancov).

Úlohou účtovníka, resp. účtovníckej firmy je viesť účtovníctvo danej účtovnej jednotky. Môže ísť o interné alebo externé vedenie účtovníctva. V obidvoch prípadoch však dochádza k spracúvaniu osobných údajov fyzických osôb, ktoré sa nachádzajú napríklad v účtovných dokladoch, zmluvách, faktúrach či formulároch.

Podnikateľ (zamestnávateľ), ktorý si chce nechať spracovávať účtovníctvo externou formou, musí postupovať v súlade s GDPR. K tomu síce nepotrebuje súhlas svojich zamestnancov, ale musí si vybrať takého externého účtovníka, ktorý mu dá dostatočnú záruku, že prijme primerané technické a organizačné opatrenia tak, aby spracúvanie osobných údajov spĺňalo požiadavky GDPR a aby sa zabezpečila ochrana práv dotknutých osôb. Nariadenie GDPR sa teda dotýka nielen samotného zamestnávateľa, ale aj jeho externého účtovníka (t.j. fyzickej alebo právnickej osoby, ktorá vykonáva účtovníctvo podľa zákona o účtovníctve).

Aké postavenie má podľa GDPR externý účtovník?

Pri ochrane osobných údajov je potrebné rozlišovať dva subjekty – prevádzkovateľa a sprostredkovateľa.

Prevádzkovateľom je fyzická alebo právnická osoba, ktorá spracúva osobné údaje vo vlastnom mene (napr. zamestnávateľ sám spracúva osobné údaje svojich zamestnancov na účel plnenia povinností súvisiacich s pracovným pomerom).

Naopak, sprostredkovateľom je fyzická alebo právnická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa (napr. účtovník, resp. účtovnícka firma vedie účtovníctvo a mzdovú agendu pre inú firmu).

Externý účtovník má podľa GDPR postavenie sprostredkovateľa.

Jednoducho povedané, ak účtovník alebo účtovnícka firma externe vykonáva účtovníctvo či mzdovú agendu pre iného podnikateľa (napr. pre stavebnú firmu), čím spracúva osobné údaje zamestnancov tohto podnikateľa, v zmysle GDPR postavenie sprostredkovateľa. Takýto externý účtovník ako sprostredkovateľ teda spracúva osobné údaje dotknutých osôb nie pre seba, ale pre inú osobu, t. j. pre prevádzkovateľa, spravidla ako pre svojho klienta. Nič však nebráni tomu, aby takáto účtovnícka firma nemohla byť súčasne aj prevádzkovateľom (napr. pri spracúvaní svojho účtovníctva a mzdovej agendy vlastných zamestnancov – tzv. interné účtovníctvo).

Na základe čoho môže externý účtovník spracúvať osobné údaje dotknutých osôb ?

Vo všeobecnosti platí, že prevádzkovateľ môže poveriť spracúvaním osobných údajov sprostredkovateľa. Poverenie sa vykonáva osobitnou zmluvou.

Konkrétne to znamená, že spracúvanie účtovníctva externým účtovníkom v pozícii sprostredkovateľa sa podľa európskeho nariadenia musí realizovať na základe špeciálnej zmluvy uzatvorenej medzi prevádzkovateľom a sprostredkovateľom (tzv. sprostredkovateľská zmluva). Súhlas dotknutých osôb na spracúvanie ich osobných údajov externým účtovníkom sa nevyžaduje.

Externý účtovník musí s prevádzkovateľom uzatvoriť osobitnú zmluvu.

Po uzavretí sprostredkovateľskej zmluvy môže externý účtovník začať spracúvať osobné údaje zamestnancov prevádzkovateľa, ale len v rozsahu a za podmienok dohodnutých v zmluve a len na základe pokynov prevádzkovateľa.

Účel spracúvania osobných údajov si externý účtovník nikdy neurčuje sám, určí mu ho prevádzkovateľ. Účelom je vedenie účtovníctva, a teda spracovanie účtovných dokladov, prípadne vedenie mzdovej agendy.

Príklad: Firma STAV s.r.o. si najala externú účtovníckou kanceláriu ÚČTO s.r.o. za účelom spracúvania účtovníctva a mzdovej agendy jej zamestnancov. Na to, aby ÚČTO s.r.o. mohla v súlade s GDPR spracúvať osobné údaje zamestnancov STAV s.r.o., je nutné uzavretie sprostredkovateľskej zmluvy medzi STAV s.r.o. ako prevádzkovateľom a ÚČTO s.r.o. ako sprostredkovateľom. Následne, najskôr v deň uzavretia zmluvy, môže ÚČTO s.r.o. na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy spracúvať osobné údaje zamestnancov STAV s.r.o., a to bez ich súhlasu.

Článok pokračuje pod reklamou

Základné povinnosti externého účtovníka podľa GDPR

GDPR zakotvuje viaceré povinnosti externého účtovníka v postavení sprostredkovateľa. Medzi tie najdôležitejšie možno zaradiť:

  1. Povinnosť chrániť spracúvané osobné údaje

Tak ako prevádzkovateľ aj externý účtovník v pozícii sprostredkovateľa má v zmysle GDPR povinnosť chrániť osobné údaje, ktoré spracúva. Preto musí vždy zohľadniť riziká spojené so spracúvaním osobných údajov (napr. náhodné alebo nezákonné zničenie, strata, zmena, osobných údajov alebo neoprávnený prístup k nim).

  1. Povinnosť viesť záznamy o spracovateľských činnostiach (čl. 30 bod 2 GDPR)

Ak externý účtovník vedie účtovníctvo pre zamestnávateľa, ktorý zamestnáva viac ako 250 zamestnancov, musí viesť záznamy o spracovateľských činnostiach (o všetkých kategóriách spracovateľských činností), ktoré vykonal v mene tohto zamestnávateľa. Ak vykonáva účtovníctvo pre viacero takýchto podnikateľov, musí záznamy viesť pre každého z nich zvlášť. Pri nižšom počte zamestnancov síce táto povinnosť neplatí, no napriek tomu môže externý účtovník viesť záznamy dobrovoľne. Je to praktické z hľadiska orientovania sa v spracúvaní osobných údajov a súčasne si tým „kryje chrbát“ pri prípadnom preukazovaní plnenia svojich povinností. Záznamy o spracovateľských činnostiach je potrebné viesť v písomnej podobe vrátane elektronickej podoby. V prípade kontroly zo strany Úradu na ochranu osobných údajov SR bude externý účtovník povinný poskytnúť tieto záznamy.

  1. Povinnosť oznámiť prevádzkovateľovi porušenie ochrany osobných údajov (čl. 33 bod 2 GDPR)

Európske nariadenie zaviedlo pre sprostredkovateľov novú povinnosť - oznámiť bezpečnostné incidenty prevádzkovateľovi. Externý účtovník tak musí každé porušenie ochrany osobných údajov, ktoré spracúva, oznámiť prevádzkovateľovi, a to bezodkladne, hneď ako sa o porušení dozvedel. V oznámení by mal najmä uviesť k akému porušeniu došlo, ktorých osobných údajov sa poručenie týka a pod.

  1. Povinnosť spolupracovať s Úradom na ochranu osobných údajov SR (čl. 31 GDPR)

Externý účtovník musí na požiadanie spolupracovať s dozorným orgánom pri výkone jeho úloh. Dozorným orgánom je Úrad na ochranu osobných údajov SR.

  1. Povinnosť vymazať alebo vrátiť osobné údaje prevádzkovateľovi

V prípade ukončenia poskytovania služieb externého účtovníctva je externý účtovník povinný vymazať/zlikvidovať všetky osobné údaje (vrátane kópií), ktoré spracúval alebo ich vrátiť prevádzkovateľovi. Konkrétne podmienky ukončenia spolupráce je potrebné dohodnúť vopred v sprostredkovateľskej zmluve.

  1. Povinnosť zachovávať mlčanlivosť (§ 79 nového zákona o ochrane osobných údajov)

V neposlednom rade musí externý účtovník zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Táto povinnosť trvá aj po ukončení spolupráce s prevádzkovateľom.

Sankcie za porušenie povinností externého účtovníka

Nový zákon o ochrane osobných údajov ustanovuje za porušenie povinností nemalé pokuty. To sa týka aj porušenia povinností externým účtovníkom v pozícií sprostredkovateľa.

Napríklad, ak externý účtovník poruší povinnosť viesť záznamy o spracovateľských činnostiach, povinnosť oznámiť prevádzkovateľovi bezpečnostný incident či povinnosť mlčanlivosti, môže mu úrad uložiť pokutu až do výšky 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Viac podobných článkov nájdete na www.podnikajte.sk

Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.


Účtová osnova pre rok 2019 na stiahnutie

Čo by ste mali vedieť o účtovej osnove, ak účtujete v sústave podvojného účtovníctva? V článku si môžete aj účtovú osnovu platnú pre rok 2019 stiahnuť.

GDPR po skončení pracovného pomeru

Európske nariadenie, známe ako GDPR, sa od mája 2018 uplatňuje nielen pri spracovávaní osobných údajov pred uzavretím pracovného pomeru či počas jeho trvania, ale aj po jeho skončení. Kedy môže zamestnávateľ uchovávať osobné údaje bývalého zamestnanca a po akú dobu?

GDPR a mzda zamestnanca

Aké osobné údaje spracúva zamestnávateľ v súvislosti so mzdou zamestnanca? Je na takéto spracúvanie potrebný súhlas? Môže zamestnávateľ mzdu zamestnanca zverejniť?

Prehľad povinností prevádzkovateľa podľa GDPR

Kto je podľa nového európskeho nariadenia o ochrane osobných údajov prevádzkovateľom? Aké povinnosti mu z GDPR vyplývajú? Pozrite si stručný prehľad.