Ochrana osobných údajov v kontexte externého účtovníctva a sprostredkovateľskej zmluvy podľa GDPR

Ochrana osobných údajov je v súčasnej digitálnej dobe kľúčovou témou. Nariadenie GDPR, účinné od 25. mája 2018, prinieslo zásadné zmeny v oblasti spracúvania osobných údajov. Tento článok sa zameriava na problematiku ochrany osobných údajov v kontexte externého účtovníctva a sprostredkovateľskej zmluvy, pričom zohľadňuje požiadavky GDPR.

GDPR a jeho vplyv na podnikanie

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie GDPR“), nadobudlo účinnosť 25. mája 2018. GDPR upravuje povinnosti prevádzkovateľov, sprostredkovateľov a práva dotknutých osôb. Nové pravidlá ochrany osobných údajov sa vzťahujú na každého podnikateľa, ktorý spracúva osobné údaje, bez ohľadu na ich množstvo. Zo zákona sú podnikatelia povinní chrániť osobné údaje dotknutých osôb (napr. zamestnancov).

Prevádzkovateľ vs. Sprostredkovateľ

Pri ochrane osobných údajov je potrebné rozlišovať dva subjekty - prevádzkovateľa a sprostredkovateľa.

• Prevádzkovateľ: Fyzická alebo právnická osoba, ktorá spracúva osobné údaje vo vlastnom mene. Zamestnávateľ, ktorý spracúva osobné údaje svojich zamestnancov na účel plnenia povinností súvisiacich s pracovným pomerom, je prevádzkovateľom.
• Sprostredkovateľ: Fyzická alebo právnická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa. Účtovník alebo účtovnícka firma, ktorá vedie účtovníctvo a mzdovú agendu pre inú firmu, je sprostredkovateľom.

Sprostredkovateľ si nemôže sám určovať účel a podmienky spracúvania osobných údajov. Tie mu určí prevádzkovateľ v písomnej zmluve, a to pred začatím spracúvania osobných údajov alebo najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ môže spracúvať osobné údaje len v rozsahu, spôsobom a za podmienok dohodnutých s prevádzkovateľom.

Externý účtovník ako sprostredkovateľ

Veľa podnikateľov v súčasnosti rieši mzdovú agendu a účtovníctvo prostredníctvom špecializovaných externých firiem. Úlohou účtovníka, resp. účtovníckej firmy je viesť účtovníctvo danej účtovnej jednotky. Môže ísť o interné alebo externé vedenie účtovníctva. V obidvoch prípadoch však dochádza k spracúvaniu osobných údajov fyzických osôb, ktoré sa nachádzajú napríklad v účtovných dokladoch, zmluvách, faktúrach či formulároch. Ak účtovník alebo účtovnícka firma externe vykonáva účtovníctvo či mzdovú agendu pre iného podnikateľa, čím spracúva osobné údaje zamestnancov tohto podnikateľa, má v zmysle GDPR postavenie sprostredkovateľa. Takýto externý účtovník ako sprostredkovateľ teda spracúva osobné údaje dotknutých osôb nie pre seba, ale pre inú osobu, t. j. pre prevádzkovateľa, spravidla ako pre svojho klienta.

Prečítajte si tiež: Povinnosť chrániť prírodu: Analýza

Podnikateľ (zamestnávateľ), ktorý si chce nechať spracovávať účtovníctvo externou formou, musí postupovať v súlade s GDPR. K tomu síce nepotrebuje súhlas svojich zamestnancov, ale musí si vybrať takého externého účtovníka, ktorý mu dá dostatočnú záruku, že prijme primerané technické a organizačné opatrenia tak, aby spracúvanie osobných údajov spĺňalo požiadavky GDPR a aby sa zabezpečila ochrana práv dotknutých osôb.

Sprostredkovateľská zmluva

Prevádzkovateľ môže poveriť spracúvaním osobných údajov sprostredkovateľa. Poverenie sa vykonáva osobitnou zmluvou. Konkrétne to znamená, že spracúvanie účtovníctva externým účtovníkom v pozícii sprostredkovateľa sa podľa európskeho nariadenia musí realizovať na základe špeciálnej zmluvy uzatvorenej medzi prevádzkovateľom a sprostredkovateľom (tzv. sprostredkovateľská zmluva). Súhlas dotknutých osôb na spracúvanie ich osobných údajov externým účtovníkom sa nevyžaduje. Po uzavretí sprostredkovateľskej zmluvy môže externý účtovník začať spracúvať osobné údaje zamestnancov prevádzkovateľa, ale len v rozsahu a za podmienok dohodnutých v zmluve a len na základe pokynov prevádzkovateľa. Účel spracúvania osobných údajov si externý účtovník nikdy neurčuje sám, určí mu ho prevádzkovateľ. Účelom je vedenie účtovníctva, a teda spracovanie účtovných dokladov, prípadne vedenie mzdovej agendy.

Náležitosti sprostredkovateľskej zmluvy

Pôvodné obsahové náležitosti zmluvy o spracúvaní osobných údajov GRRP od 25. mája 2018 rozširuje a ustanovuje ich v čl. 28 bod 3 (§ 34 nového zákona o ochrane osobných údajov), podľa ktorého sprostredkovateľská zmluva musí obsahovať:

• predmet a dobu spracúvania osobných údajov,
• povahu a účel spracúvania osobných údajov,
• typ osobných údajov (zoznam alebo rozsah osobných údajov),
• kategórie dotknutých osôb (okruh dotknutých osôb - napr. zákazníci),
• povinnosti a práva prevádzkovateľa,
• povinnosti sprostredkovateľa:
  • spracúvať osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa,
  • poučiť osoby oprávnené spracúvať osobné údaje o povinnosti zachovávať mlčanlivosť a dôvernosť informácií,
  • vykonať všetky opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov,
  • dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subdodávateľa),
  • poskytnúť prevádzkovateľovi potrebnú súčinnosť v súvislostiach so zabezpečením práv dotknutej osoby, s prijatím opatrení na zabezpečenie bezpečnosti spracúvania a v súvislosti s kontrolou plnenia povinností,
  • zlikvidovať alebo vrátiť osobné údaje po ukončení služby prevádzkovateľovi.

Okrem vyššie uvedených náležitosti je vhodné, aby zmluva o spracúvaní osobných údajov zahŕňala aj:

• údaje o zmluvných stranách (označenie prevádzkovateľa a sprostredkovateľa),
• podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
• deň, od ktorého sprostredkovateľ môže začať osobné údaje v mene prevádzkovateľa spracúvať (najneskôr deň začatia spracúvania osobných údajov),
• vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov,
• dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Sprostredkovateľské zmluvy uzavreté do 25. mája 2018 je nutné zosúladiť s novými požiadavkami podľa GDPR a nového zákona o ochrane osobných údajov.

Prečítajte si tiež: Preukazy osôb so zdravotným postihnutím

Príklad sprostredkovateľskej zmluvy

Firma STAV s.r.o. si najala externú účtovníckou kanceláriu ÚČTO s.r.o. za účelom spracúvania účtovníctva a mzdovej agendy jej zamestnancov. Na to, aby ÚČTO s.r.o. mohla v súlade s GDPR spracúvať osobné údaje zamestnancov STAV s.r.o., je nutné uzavretie sprostredkovateľskej zmluvy medzi STAV s.r.o. ako prevádzkovateľom a ÚČTO s.r.o. ako sprostredkovateľom. Následne, najskôr v deň uzavretia zmluvy, môže ÚČTO s.r.o. na základe zákona o účtovníctve a uzatvorenej sprostredkovateľskej zmluvy spracúvať osobné údaje zamestnancov STAV s.r.o., a to bez ich súhlasu.

Základné povinnosti externého účtovníka podľa GDPR

GDPR zakotvuje viaceré povinnosti externého účtovníka v postavení sprostredkovateľa. Medzi tie najdôležitejšie možno zaradiť:

• Povinnosť chrániť spracúvané osobné údaje: Tak ako prevádzkovateľ aj externý účtovník v pozícii sprostredkovateľa má v zmysle GDPR povinnosť chrániť osobné údaje, ktoré spracúva. Preto musí vždy zohľadniť riziká spojené so spracúvaním osobných údajov (napr. náhodné alebo nezákonné zničenie, strata, zmena, osobných údajov alebo neoprávnený prístup k nim).
• Povinnosť viesť záznamy o spracovateľských činnostiach (čl. 30 bod 2 GDPR): Ak externý účtovník vedie účtovníctvo pre zamestnávateľa, ktorý zamestnáva viac ako 250 zamestnancov, musí viesť záznamy o spracovateľských činnostiach (o všetkých kategóriách spracovateľských činností), ktoré vykonal v mene tohto zamestnávateľa. Ak vykonáva účtovníctvo pre viacero takýchto podnikateľov, musí záznamy viesť pre každého z nich zvlášť. Pri nižšom počte zamestnancov síce táto povinnosť neplatí, no napriek tomu môže externý účtovník viesť záznamy dobrovoľne. Je to praktické z hľadiska orientovania sa v spracúvaní osobných údajov a súčasne si tým „kryje chrbát“ pri prípadnom preukazovaní plnenia svojich povinností. Záznamy o spracovateľských činnostiach je potrebné viesť v písomnej podobe vrátane elektronickej podoby. V prípade kontroly zo strany Úradu na ochranu osobných údajov SR bude externý účtovník povinný poskytnúť tieto záznamy.
• Povinnosť oznámiť prevádzkovateľovi porušenie ochrany osobných údajov (čl. 33 bod 2 GDPR): Európske nariadenie zaviedlo pre sprostredkovateľov novú povinnosť - oznámiť bezpečnostné incidenty prevádzkovateľovi. Externý účtovník tak musí každé porušenie ochrany osobných údajov, ktoré spracúva, oznámiť prevádzkovateľovi, a to bezodkladne, hneď ako sa o porušení dozvedel. V oznámení by mal najmä uviesť k akému porušeniu došlo, ktorých osobných údajov sa poručenie týka a pod.
• Povinnosť spolupracovať s Úradom na ochranu osobných údajov SR (čl. 31 GDPR): Externý účtovník musí na požiadanie spolupracovať s dozorným orgánom pri výkone jeho úloh. Dozorným orgánom je Úrad na ochranu osobných údajov SR.
• Povinnosť vymazať alebo vrátiť osobné údaje prevádzkovateľovi: V prípade ukončenia poskytovania služieb externého účtovníctva je externý účtovník povinný vymazať/zlikvidovať všetky osobné údaje (vrátane kópií), ktoré spracúval alebo ich vrátiť prevádzkovateľovi. Konkrétne podmienky ukončenia spolupráce je potrebné dohodnúť vopred v sprostredkovateľskej zmluve.
• Povinnosť zachovávať mlčanlivosť (§ 79 nového zákona o ochrane osobných údajov): V neposlednom rade musí externý účtovník zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Táto povinnosť trvá aj po ukončení spolupráce s prevádzkovateľom.

Sankcie za porušenie povinností externého účtovníka

Nový zákon o ochrane osobných údajov ustanovuje za porušenie povinností nemalé pokuty. To sa týka aj porušenia povinností externým účtovníkom v pozícií sprostredkovateľa. Napríklad, ak externý účtovník poruší povinnosť viesť záznamy o spracovateľských činnostiach, povinnosť oznámiť prevádzkovateľovi bezpečnostný incident či povinnosť mlčanlivosti, môže mu úrad uložiť pokutu až do výšky 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Subdodávateľ

Subdodávateľom sa v zásade rozumie ďalší sprostredkovateľ, ktorého zapojí prvý sprostredkovateľ. Je to každá osoba, či už fyzická alebo právnická, ktorá spracúva osobné údaje pre sprostredkovateľa. Podľa článku 28 ods. 4 GDPR, ak sprostredkovateľ zapojí do vykonávania spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tak tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom. Povolenie ďalšieho sprostredkovateľa môže byť aj všeobecné, avšak za podmienky, že sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

Informačná povinnosť

V prípade súhlasu upozorňujeme na to, že ak účtovníčka spracúva osobné údaje na základe osobitných predpisov, nie je možné získavať súhlas, ale je potrebné splniť si informačnú povinnosť podľa čl. 13 nariadenia.

Prečítajte si tiež: Práva invalidných dôchodcov v práci

Príklady spracúvania osobných údajov a ich uchovávania

• Zabezpečenie lekárskej prehliadky:
  • Právny základ:
    • Zmluva - spracovanie údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba.
    • Oprávnený záujem - výnimka čl. 9 ods. 2 písm. h) GDPR.
  • Príjemcovia: AGEL Clinic s. r. o.
  • Doba uchovávania: Doba, ktorú vyžaduje príslušný osobitný predpis.
• Účtovníctvo:
  • Právny základ: Osobitné zákony (z. o účtovníctve, z. o dani z príjmov).
  • Doba uchovávania: Zákonné lehoty (napr. 5 rokov).
• Dane:
  • Právny základ: Osobitné zákony (zákon č. 595/2003 Z. z. o dani z príjmov).
  • Doba uchovávania: Zákonné lehoty (napr. 10 rokov).

Osobné údaje dotknutých osôb sprístupňujeme len v nevyhnutnej miere a vždy pri zachovaní mlčanlivosti príjemcu, napr. našim zamestnancom, osobám, ktoré poverujeme vykonaním jednotlivých úkonov, iným spoločnostiam patriacim do našej skupiny, našim účtovným poradcom, naším profesionálnym poradcom, poskytovateľom doručovaných služieb alebo poskytovateľom softvérového vybavenia alebo podpory našej spoločnosti, vrátane zamestnancov týchto osôb.

Cookies

Naša webová stránka používa súbory cookies na účely analýzy návštevnosti webstránok prostredníctvom Google Analytics, tvorby štatistík týkajúcich sa návštevnosti a chovania návštevníkov webových stránok a fungovania webových stránok. Ukladaniu týchto súborov do Vášho zariadenia môžete kedykoľvek zabrániť nastavením Vášho webového prehliadača. Nastavenie Vášho prehliadača je v zmysle § 55 ods. 5 Zákona o elektronických komunikáciách považované za Váš súhlas s používaním cookies na našej stránke. Cookies sú posudzované v podobne hromadného celku a v pseudonymizovanej podobe, ktorá umožňuje identifikáciu jednotlivca len pri vynaložení veľkého a odborného úsilia. Cookies pre cielenie reklamy sú spracovávané na základe Vášho súhlasu. Súhlas udeľujete na dobu, ktorá je uvedená u jednotlivých marketingových cookies.

tags: #ochrana #osobných #údajov #externý #účtovník #sprostredkovateľská