Hranica medzi službou a deliktom: Zistite, kedy a ako môže účtovná kancelária spracovávať osobné údaje klienta
Spracovávanie účtovnej agendy je neodmysliteľne späté s manipuláciou s citlivými informáciami. Každá účtovná kancelária denne narába s údajmi, ktoré nespadajú len pod obchodné tajomstvo, ale predovšetkým pod prísnu ochranu osobných údajov v zmysle nariadenia GDPR. Vzťah medzi klientom a účtovníkom je založený na dôvere, avšak táto dôvera musí byť ukotvená v pevných právnych základoch. Hranica medzi profesionálnym poskytovaním služieb a potenciálnym deliktom je často veľmi tenká a určuje ju práve spôsob, akým sú dáta zhromažďované, uchovávané a likvidované. Správne nastavenie procesov nie je len otázkou prevencie pred vysokými pokutami od dozorných orgánov, ale aj pilierom transparentného podnikania. Tento článok vás prevedie kľúčovými aspektmi, ktoré definujú legálny rámec spracúvania osobných údajov v prostredí moderného účtovníctva, pričom sa zameria na práva, povinnosti a technické štandardy, ktoré nesmie podceniť žiadna strana zmluvného vzťahu.
1. Právne základy spracúvania osobných údajov v účtovníctve
Účtovná kancelária nemôže spracovávať osobné údaje len na základe vlastného uváženia. Každá operácia musí mať stanovený jasný právny základ. V praxi sa najčastejšie stretávame s tromi hlavnými titulmi:
- Plnenie zákonnej povinnosti: Väčšina údajov (napríklad údaje zamestnancov na mzdových listoch alebo údaje fyzických osôb na faktúrach) sa spracováva preto, lebo to účtovníkovi alebo jeho klientovi ukladá zákon o účtovníctve, zákon o dani z príjmov alebo zákon o sociálnom poistení.
- Plnenie zmluvy: Spracúvanie je nevyhnutné na to, aby mohla byť poskytnutá dohodnutá služba. Sem patrí napríklad vedenie evidencie pohľadávok a záväzkov konkrétnych osôb, s ktorými klient obchoduje.
- Oprávnený záujem: Môže ísť o ochranu majetku kancelárie alebo preukazovanie právnych nárokov v prípade sporov.
Dôležité je zdôrazniť, že v oblasti účtovníctva sa súhlas dotknutej osoby využíva len zriedka. Ak spracúvanie vyplýva priamo zo zákona, súhlas nie je potrebný a bol by dokonca nadbytočný. Účtovná kancelária však musí byť schopná kedykoľvek preukázať, na základe ktorého z týchto titulov s údajmi narába.
2. Postavenie účtovnej kancelárie: Sprostredkovateľ alebo prevádzkovateľ?
Pre správne určenie zodpovednosti je kritické definovať rolu účtovnej kancelárie. Vo väčšine prípadov vystupuje kancelária ako sprostredkovateľ. To znamená, že spracúva osobné údaje v mene svojho klienta (prevádzkovateľa), ktorý určuje účel a prostriedky spracúvania.
V tomto vzťahu je nevyhnutné mať uzatvorenú sprostredkovateľskú zmluvu (poverenie), ktorá presne definuje:
- predmet a dobu spracúvania,
- povahu a účel spracúvania,
- typ osobných údajov a kategórie dotknutých osôb,
- povinnosť mlčanlivosti zamestnancov kancelárie.
Existujú však situácie, kedy sa účtovná kancelária stáva samostatným prevádzkovateľom. Ide o momenty, kedy spracúva údaje svojich vlastných zamestnancov alebo údaje svojich priamych klientov (fyzických osôb – podnikateľov) na účely vlastnej fakturácie a správy vlastnej agendy. Pochopenie tohto rozdielu je kľúčové pre správne nastavenie dokumentácie a zodpovednosti za prípadné úniky dát.
3. Rozsah údajov a zásada minimalizácie
Jednou zo základných zásad GDPR je minimalizácia údajov. Účtovná kancelária by mala spracovávať len tie osobné údaje, ktoré sú nevyhnutne potrebné na dosiahnutie stanoveného účelu. Ak napríklad zákon o DPH vyžaduje na faktúre meno, priezvisko a adresu, nie je dôvod, aby účtovník vyžadoval aj rodné číslo klienta, ak to iný zákon (napr. zákon o dani z príjmov pri mzdách) vyslovene neukladá.
V praxi sa spracúvajú najmä tieto kategórie údajov:
- Bežné osobné údaje: Meno, adresa, titul, IČO, DIČ, bankové spojenie.
- Osobitné kategórie údajov: Napríklad údaje o zdravotnom stave zamestnancov klienta pre účely uznania daňových bonusov alebo odvodových úľav (ZŤP).
- Údaje o rodinných príslušníkoch: Často potrebné pri uplatňovaní daňového bonusu na deti.
Prekročenie nevyhnutného rozsahu spracúvania údajov sa považuje za delikt. Účtovná kancelária by mala pravidelne preverovať, či informácie, ktoré od klientov žiada, stále podliehajú zákonnej povinnosti alebo zmluvnej potrebe.
4. Bezpečnostné opatrenia a ochrana dát
Hranica medzi službou a deliktom sa často láme na technickom zabezpečení. Účtovná kancelária musí prijať primerané technické a organizačné opatrenia, aby zabránila strate, poškodeniu alebo zneužitiu dát. V digitálnej dobe už nestačí mať zamknutý šanón v kancelárii.
Technické opatrenia zahŕňajú:
Šifrovanie dát pri prenose (napr. zabezpečená e-mailová komunikácia), pravidelné zálohovanie na bezpečné úložiská, používanie silných hesiel a dvojfaktorovej autentifikácie do účtovných softvérov. Prístup k údajom by mali mať len oprávnené osoby, ktoré sú preukázateľne poučené o mlčanlivosti.
Organizačné opatrenia zahŕňajú:
Jasne stanovené interné smernice o tom, ako sa narába s fyzickými listinami, pravidlá pre prácu z domu (home office) a postupy pre prípad bezpečnostného incidentu. Ak dôjde k úniku dát, kancelária musí byť pripravená reagovať v súlade so zákonom, čo zahŕňa aj hlásenie Úradu na ochranu osobných údajov SR do 72 hodín.
5. Retencia údajov: Ako dlho možno údaje uchovávať?
Osobné údaje nesmú byť uchovávané večne. Doba uchovávania je priamo naviazaná na archívne lehoty stanovené osobitnými predpismi. Napríklad účtovné doklady sa spravidla uchovávajú po dobu 10 rokov nasledujúcich po roku, ktorého sa týkajú. Mzdové listy a údaje pre dôchodkové zabezpečenie majú lehoty ešte výrazne dlhšie.
Problém nastáva v momente, keď zákonná lehota uplynie. Po tomto čase musí byť údaj zlikvidovaný – fyzicky skartovaný (podľa bezpečnostných noriem) alebo nenávratne vymazaný z digitálnych nosičov. Uchovávanie údajov „pre istotu“ po uplynutí zákonných lehôt bez iného právneho titulu je porušením predpisov a môže byť klasifikované ako správny delikt.
Kvalitná účtovná kancelária má vypracovaný skartačný poriadok, ktorý presne určuje, kedy a akým spôsobom k likvidácii dochádza. Týmto spôsobom chráni seba aj svojho klienta pred rizikom neoprávneného spracúvania starých dát.
Správne spracúvanie osobných údajov v účtovnej kancelárii nie je len o byrokratickom vypĺňaní tlačív, ale o komplexnom systéme ochrany práv fyzických osôb. Základom úspešnej spolupráce je transparentnosť. Účtovník musí presne vedieť, v akej roli vystupuje, a klient musí byť informovaný o tom, čo sa s jeho údajmi deje. Ak sú nastavené jasné pravidlá – od uzatvorenia kvalitnej sprostredkovateľskeú zmluvy, cez dodržiavanie zásady minimalizácie až po technické zabezpečenie serverov – riziko deliktu sa minimalizuje na minimum. Je dôležité si uvedomiť, že ochrana údajov nie je jednorazová úloha, ale kontinuálny proces kontroly a aktualizácie postupov podľa meniacich sa zákonov a technológií.
V konečnom dôsledku je dodržiavanie týchto pravidiel konkurenčnou výhodou. Klienti dnes čoraz častejšie hľadajú partnerov, ktorí dokážu garantovať bezpečnosť ich informácií. Účtovná kancelária, ktorá má v poriadku GDPR dokumentáciu a implementované moderné bezpečnostné prvky, vysiela jasný signál profesionality. Naopak, podceňovanie tejto problematiky môže viesť k likvidačným pokutám a nenávratnému poškodeniu reputácie. Pochopenie hranice medzi legálnou službou a deliktom je preto nevyhnutné pre každého moderného účtovníka, ktorý chce poskytovať služby na vysokej úrovni v súlade s európskymi štandardmi.
