29
sep
Od mája 2018 platí v celej Európskej únii Všeobecné nariadenie o ochrane údajov, známe pod skratkou GDPR (General Data Protection Regulation). Jeho cieľom je zabezpečiť vyšší stupeň ochrany osobných údajov občanov EÚ a zároveň upraviť pravidlá, ktorými sa musia riadiť všetky subjekty pracujúce s osobnými údajmi. Medzi takéto subjekty patria aj podnikatelia a firmy vystavujúce faktúry svojim zákazníkom, či už ide o fyzické osoby alebo právnické osoby. Vystavovanie faktúr je síce zákonnou povinnosťou a neodmysliteľnou súčasťou podnikania, no zároveň sa v tomto procese spracúvajú osobné údaje – meno, adresa, IČO, DIČ, email a iné. V tomto článku sa podrobne pozrieme na to, ako zosúladiť povinnosti týkajúce sa vystavovania faktúr s požiadavkami GDPR, tak aby ste sa vyhli nežiaducim sankciám a zároveň chránili údaje svojich klientov.
1. Čo je GDPR a prečo sa týka aj fakturácie?
GDPR je legislatívny rámec na ochranu osobných údajov v rámci celej EÚ. Týka sa všetkých organizácií, ktoré akýmkoľvek spôsobom spracúvajú osobné údaje. Spracúvanie faktúr patrí do tejto kategórie, pretože faktúry často obsahujú informácie, ktoré môžu byť považované za osobné údaje, napríklad v prípade živnostníka: meno, adresa, bankové údaje, email alebo telefónne číslo.
Podľa GDPR je osobný údaj akákoľvek informácia vzťahujúca sa na identifikovanú alebo identifikovateľnú fyzickú osobu. Ak teda vystavujete faktúru napríklad fyzickej osobe – podnikateľovi (živnostníkovi), vystupujete v pozícii prevádzkovateľa, ktorý musí zabezpečiť, že tieto údaje spracúva zákonne, transparentne a bezpečne.
2. Právny základ spracúvania osobných údajov pri fakturácii
Na spracovanie osobných údajov je potrebný zákonný základ. V prípade fakturácie ide najčastejšie o nasledovné:
- Plnenie zákonnej povinnosti – najčastejší právny základ. Podľa zákona o účtovníctve a zákona o DPH musíte vystaviť faktúru a archivovať ju určitý čas. Nemáte teda povinnosť žiadať súhlas zákazníka na spracovanie údajov pre účely fakturácie.
- Plnenie zmluvy – ak vystavujete faktúru na základe uzavretej zmluvy (písomnej alebo ústnej), spracovanie osobných údajov je potrebné pre splnenie tejto zmluvy.
GDPR teda nevyžaduje, aby ste si na fakturáciu vypýtali súhlas od zákazníka, pokiaľ údaje používate výhradne na účely vystavenia faktúry a plnenia zákonných povinností.
3. Aké údaje možno zhromažďovať a ako ich chrániť?
Zásada minimalizácie údajov je jedným z pilierov GDPR. Znamená to, že máte právo spracúvať len tie údaje, ktoré sú nevyhnutné na daný účel. V praxi to znamená, že na faktúre by ste mali uvádzať iba:
- Meno a priezvisko (alebo názov spoločnosti)
- Adresa trvalého pobytu alebo sídla
- IČO, DIČ alebo IČ DPH
- Bankové spojenie (ak je uvedené na faktúre)
- Email alebo telefón (iba ak sú potrebné na doručenie faktúry)
Všetky tieto údaje musia byť:
- súčasťou interného informačného systému, ktorý je zabezpečený pred únikom dát;
- chránené prostredníctvom silných hesiel, šifrovania alebo iných bezpečnostných techník;
- uchovávané iba počas obdobia, ktoré vyžadujú predpisy – spravidla 10 rokov podľa zákona o účtovníctve.
4. Zásady archivácie faktúr v súlade s GDPR
Faktúry obsahujú osobné údaje a preto ich uchovávanie podlieha podmienkam podľa GDPR. Pri archivácii musíte zachovať nielen účtovné predpisy, ale aj zabezpečiť, že osobné údaje nebudú uchovávané dlhšie, než je potrebné. Bežná lehota pre uchovávanie účtovných dokladov je 10 rokov.
Avšak pri archivácii podľa GDPR musíte zabezpečiť:
- prístup len pre osoby, ktoré nevyhnutne potrebujú tieto dokumenty na výkon svojej práce,
- fyzickú a elektronickú bezpečnosť dokumentov,
- zamedzenie prístupu tretím stranám bez relevantného právneho účelu,
- možnosť identifikácie a včasného vymazania údajov po skončení zákonnej doby.
5. Elektronická fakturácia a ochrana údajov
Mnoho firiem dnes prechádza na elektronickú fakturáciu. Okrem zjednodušenia administratívy však tento spôsob prináša nové požiadavky na ochranu údajov. Ak posielate faktúry e-mailom, treba zabezpečiť:
- aby bol email zasielaný šifrovane,
- aby príjemca bol skutočným adresátom (vyhnúť sa hromadnému rozposielaniu),
- uchovávanie faktúr v zabezpečených cloudových alebo serverových riešeniach, ktoré spĺňajú požiadavky GDPR.
Používanie overených fakturačných softvérov, ktoré sú v súlade s GDPR, je dnes zásadné. Tie často ponúkajú zabezpečené rozhrania, automatizované šifrovanie dát a prístupové práva podľa úrovne zamestnanca.
6. Informovanie zákazníkov o spracovaní údajov
GDPR vyžaduje transparentnosť voči dotknutým osobám. Znamená to, že každého klienta musíte informovať o tom, ako spracúvate jeho osobné údaje – aj pri fakturácii. Tieto informácie môžete uviesť napríklad vo všeobecných obchodných podmienkach, v objednávacom formulári alebo v internom dokumente zaslanom spolu so zmluvou.
Informácia by mala obsahovať:
- kto je prevádzkovateľom údajov,
- za akým účelom sa údaje spracúvajú (napr. vystavenie faktúry),
- právny základ spracovania,
- doba uchovávania údajov,
- informácie o právach zákazníka podľa GDPR (prístup, oprava, výmaz, obmedzenie, prenositeľnosť údajov).
Záver
GDPR zmenilo spôsob, akým firmy a podnikatelia narábajú s osobnými údajmi. Aj keď sa nám môže zdať, že vystavovanie faktúr je čisto administratívna činnosť, v skutočnosti ide o spracovanie citlivých informácií, ktoré podliehajú prísnym pravidlám ochrany. V článku sme si ukázali, že faktúrovanie nevyžaduje výslovný súhlas od zákazníka, pretože túto činnosť kryjú iné právne základy – najmä zákonné povinnosti a plnenie zmluvy. Napriek tomu však musíte dodržiavať princípy minimalizácie údajov, zabezpečenia prístupu, archivácie i transparentnosti.
Dôležité je uvedomiť si, že aj elektronická fakturácia, hoci pohodlná, si vyžaduje nové bezpečnostné opatrenia a starostlivé plánovanie. Pracovať s osobnými údajmi znamená niesť zodpovednosť – preto je správne nastavenie interných procesov, bezpečnostných protokolov a informovanie klienta kľúčové nielen na splnenie zákona, ale aj pre zachovanie dôvery vašich zákazníkov.
Dodržiavanie GDPR pri fakturácii by sa mala stať štandardom každého podnikateľa. Vyhnete sa tak riziku právnych následkov, poškodeniu reputácie firmy a zároveň preukážete rešpekt voči súkromiu svojich klientov – čo je v dnešnom konkurenčnom prostredí neoceniteľná výhoda.