- Podnikam.sk
- Články
- Manažment
- Bezpečnostný manažment
- GDPR: Ochrana osobných údajov – Spracúvanie osobných údajov na účely fakturácie
GDPR: Ochrana osobných údajov – Spracúvanie osobných údajov na účely fakturácie
V praxi sa pomerne často vyskytujú situácie, kedy fyzická osoba podnikateľ (živnostník) alebo právnická osoba získa zákazku prostredníctvom ústnej objednávky. Môže ísť napríklad o preklad dokumentu z cudzieho jazyka do slovenčiny alebo o montáž okien, ako rôzne iné služby. Po ukončení práce podnikateľ štandardne vystaví faktúru, ktorá obsahuje osobné údaje objednávateľa a založí si ju do účtovníctva, kde s ňou ďalej pracuje v zmysle účtovných predpisov. Mnohí podnikatelia sa v tejto súvislosti ešte aj v súčasnosti pýtajú, ako postupovať v týchto prípadoch tak, aby dodržiavali pravidlá v oblasti ochrany osobných údajov.
V aktuálnom článku si preto viac povieme o tom, ako by mal postupovať podnikateľ (fyzická alebo právnická osoba), ktorý si vedie účtovníctvo sám, ako aj taký, pre ktorého vedie účtovníctvo iný externý subjekt (účtovník živnostník alebo účtovná spoločnosť – právnická osoba).
Postup podnikateľa, ktorý si vedie účtovníctvo sám
Nariadenie Európskeho parlamentu a Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – „GDPR“) vstúpilo do účinnosti 25. mája 2018. K rovnakému dátumu vstúpil do účinnosti aj slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý ustanovuje ďalšie podmienky pri spracúvaní osobných údajov dotknutých osôb a iné súvisiace informácie („zákon o ochrane OÚ“).
V prémiovej časti obsahu nájdete:
- Postup podnikateľa, ktorý si nevedie účtovníctvo sám
- Zmluva o spracúvaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom (sprostredkovateľská zmluva)
Z oboch uvedených právnych predpisov vyplýva, že každý podnikateľ je povinný vypracovať zásady spracúvania osobných údajov, ktoré musia v zmysle platných a účinných pravidiel v oblasti ochrany osobných údajov obsahovať nasledovné informácie:
- informáciu o tom, kto je prevádzkovateľom osobných údajov,
- informáciu o tom, aké kategórie osobných údajov spracúva,
- informáciu o tom, na aké účely sú tieto osobné údaje spracúvané,
- informáciu o tom, či používa cookies a aké druhy cookies používa pri spracúvaní osobných údajov,
- informáciu o udelení a odvolaní súhlasu so spracúvaním osobných údajov na marketingové účely,
- informáciu o archivácii osobných údajov,
- informáciu o zdrojoch získavania osobných údajov,
- informáciu o osobách s prístupom k osobným údajom,
- informáciu o tom, či používa profilovanie osobných údajov,
- informáciu o právach dotknutých osôb pri spracúvaní osobných údajov,
- informáciu o lehotách a poplatkoch spojených s riešením dopytov ohľadom spracúvania osobných údajov.
Táto povinnosť sa týka aj podnikateľov, ktorí spracúvajú osobné údaje samostatne a účtovníctvo si vedú sami. Pri spracúvaní osobných údajov na účely fakturácie, ako je meno, priezvisko, adresa, banka a bankový účet a ďalšie údaje o objednávateľovi tak už možno identifikovať konkrétnu osobu a odlíšiť ju od inej osoby. Tieto osobné údaje už v zmysle účinnej legislatívy považujeme za identifikačné údaje dotknutej osoby. Pre účely zabezpečenia riadne ochrany osobných údajov je tak potrebné postupovať v súlade s platnou a účinnou legislatívou v oblasti ochrany osobných údajov. Dotknutá osoba je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
Odporučenie:
V zásadách ochrany osobných údajov odporúčame podnikateľom uviesť, že takto získavané osobné údaje sú spracúvané na základe určitého právneho základu. Tento právny základ tvorí zmluva (môže ňou byť aj ústna zmluva) uzatvorená medzi podnikateľom a objednávateľom. Zároveň je dôležité uviesť, že spracúvanie osobných údajov je v týchto prípadoch realizované len v rozsahu potrebnom na uzatvorenie a riadne plnenie príslušnej zmluvy a z nej vyplývajúcich záväzkov.
K tejto informácii je potrebné ešte doplniť informáciu o tom, že poskytovanie osobných údajov na predmetný účel je v každom jednotlivom prípade vždy dobrovoľné. Je však pritom dôležité upozorniť objednávateľa na skutočnosť, že bez získania týchto údajov nie je možné pristúpiť k uzatvoreniu príslušnej zmluvy a riadnemu plneniu vzájomných záväzkov z nej vyplývajúcich. Všetky tieto informácie je potrebné zahrnúť do zásad spracúvania osobných údajov.
GDPR uprednostňuje pred súhlasom dotknutej osoby iné právne základy spracúvania osobných údajov, ako je osobitný zákon alebo zmluva. V praxi to pre podnikateľov znamená, že súhlas dotknutých osôb so spracúvaním ich osobných údajov je až poslednou možnosťou ako spracúvať osobné údaje zákonným spôsobom. Podnikatelia tak budú vyžadovať súhlas so spracovaním osobných údajov len vtedy, keď nenájdu iný právny základ alebo v prípadoch, kedy zákon ustanovuje povinnosť získať na spracovanie osobných údajov súhlas dotknutej osoby (ako je to napríklad pri spracúvaní osobných údajov na marketingové účely).
V uvedenom prípade tak podnikateľ už nemusí získavať samostatný súhlas so spracovaním osobných údajov od objednávateľa, ktorý je dotknutou osobou. Je však potrebné, aby ho preukázateľným spôsobom oboznámil s týmito informáciami (zásady spracúvania OÚ) napríklad prostredníctvom svojej webovej stránky (linkom na samotný odkaz umiestenom v zasielanom e-maily), kde budú umiestnené a verejne dostupné, a to ešte pred začiatkom spracúvania osobných údajov.
Keďže v prípade ústnej zmluvy je v praxi všeobecne nižšia vymožiteľnosť práva, odporúčame podnikateľom, aby vždy postupovali niektorým z navrhovaných spôsobov alebo iným spôsobom, z ktorého bude v prípade sporu zrejmé, že dotknutá osoba bola riadne a včas oboznámená so zásadami spracúvania osobných údajov, ktoré obsahujú aj informácie o príslušnom právnom základe spracúvania osobných údajov a ostatných zákonom požadovaných informáciách.
Upozornenie:
Tu by som chcela ešte raz zdôrazniť, že dotknutú osobu je potrebné oboznámiť so spracúvaním jej osobných údajov ešte pred samotného spracúvania osobných údajov. To znamená, že podnikateľ musí oboznámiť podnikateľa o spracúvaní jeho osobných údajov ešte pred vystavením samotnej faktúry.
Ak si podnikateľ sám vedie účtovníctvo, nemá už ďalšie povinnosti ohľadom spracúvania osobných údajov.
Postup podnikateľa, ktorý si nevedie účtovníctvo sám
Podnikateľ, ktorý si nevedie účtovníctvo sám, avšak využíva účtovné služby vykonávané iným podnikateľom (fyzická osoba živnostník alebo právnická osoba – externý subjekt), má rovnaké povinnosti s ohľadom na spracúvanie osobných údajov dotknutých osôb ako podnikateľ, ktorý si vedie účtovníctvo sám. V praxi to znamená, že je povinný vypracovať zásady ochrany osobných údajov a ešte pred začatím spracúvania osobných údajov dotknutej osoby je povinný túto oboznámiť so všetkými zákonom požadovanými informáciami, ako sme ich uviedli vyššie.
Každý podnikateľ, pre ktorého spracúva účtovníctvo iný externý subjekt, má okrem toho ešte aj ďalšiu zákonnú povinnosť. Keďže s osobnými údajmi v účtovníctve prichádzajú do kontaktu aj iné osoby, podnikateľ je povinný zabezpečiť ochranu osobných údajov dotknutých osôb pri ich spracúvaní týmito osobami. V tomto procese vystupuje podnikateľ ako prevádzkovateľ osobných údajov a externý subjekt v pozícii sprostredkovateľa. V nedávnom článku sme detailne písali o tom, aké povinnosti majú obe strany v celom tomto procese a pripojili sme pre vás aj vzor zmluvy, ktorú je povinný uzatvoriť prevádzkovateľ so sprostredkovateľom za účelom ochrany osobných údajov dotknutých osôb.
Upozornenie:
V tomto bode je dôležité uviesť, že ani sprostredkovateľ nemôže začať spracúvať osobné údaje dotknutých osôb skôr, ako riadne uzatvorí sprostredkovateľskú zmluvu o spracúvaní osobných údajov s prevádzkovateľom a táto vstúpi do účinnosti.
Zmluva o spracúvaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom (sprostredkovateľská zmluva)
Zákon o OÚ ustanovuje, že prevádzkovateľ môže spracúvať osobné sám alebo môže ich spracúvaním poveriť ďalšiu osobu, ktorou je sprostredkovateľ. Toto poverenie sa vykonáva formou uzatvorenia špeciálnej sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom. Zmluvnými stranami takejto zmluvy sú prevádzkovateľ na jednej a sprostredkovateľ na druhej strane. Zákon ďalej ustanovuje, že takúto zmluvu je potrebné uzatvoriť v písomnej alebo elektronickej podobe. Podstatné náležitosti sprostredkovateľskej zmluvy a povinnosti zmluvných strán nájdete v samostatnom článku venovanej tejto téme. (prelinkovanie)
Upozornenie:
Na uzatvorenie tejto zmluvy sa nevyžaduje súhlas dotknutej osoby. Týmto však nie je dotknutá informačná povinnosť prevádzkovateľa pri získavaní osobných údajov podľa § 15 zákona o ochrane OÚ. Sprostredkovateľ spracúva osobné údaje dotknutých osôb v rozsahu, spôsobom a za podmienok dohodnutých v sprostredkovateľskej zmluvy.
V praxi niekedy dochádza aj k prípadom, kedy sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa. Na tomto miesto je potrebné pripomenúť, že aj tomuto ďalšiemu sprostredkovateľovi je v zmluve alebo inom právnom úkone povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov takým spôsobom, ako sú ustanovené v jeho zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona.
Upozornenie:
Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.