Externý účtovník môže spracúvať osobné údaje dotknutých osôb na základe presne definovaných právnych základov, ktoré sú v súlade s legislatívou Európskej únie a Slovenskej republiky. Tieto právne základy a pravidlá vyplývajú najmä z nariadenia GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679) a zákona č. 18/2018 Z. z. o ochrane osobných údajov.
Externý účtovník sa pri svojej práci bežne stretáva s citlivými a osobnými údajmi zamestnancov, klientov, či obchodných partnerov. Spracúvanie týchto údajov však nie je voľné – musí byť vždy podopreté konkrétnym a legitímnym účelom a súladom s legislatívnymi požiadavkami.
V tomto článku si podrobne rozoberieme, na akých základoch môže externý účtovník legálne spracúvať osobné údaje, kto mu ich môže poskytnúť, aké povinnosti má v súvislosti s ochranou údajov, ako má zabezpečiť ich bezpečnosť a čo hrozí v prípade porušenia predpisov. Cieľom je poskytnúť komplexný a zrozumiteľný návod tak pre podnikateľov, ako aj samotných účtovníkov.
Právne základy spracúvania osobných údajov účtovníkom
Externý účtovník môže osobné údaje spracúvať len na základe niektorého z právnych dôvodov určených v GDPR a zákone o ochrane osobných údajov:
- Zmluvný dôvod – účtovník spracúva údaje ako zmluvný partner klienta (napr. podnikateľa, živnostníka, právnickej osoby), ktorý mu ich odovzdáva pri výkone účtovných služieb.
- Plnenie zákonnej povinnosti – napr. uchovávanie účtovných dokladov podľa zákona o účtovníctve alebo poskytovanie údajov daňovým úradom.
- Oprávnený záujem – ak účtovník dokáže preukázať legitímny záujem, ktorý nepreváži nad právami dotknutých osôb.
- Súhlas dotknutej osoby – v osobitných prípadoch, napr. pri marketingových službách účtovnej kancelárie.
Najčastejšie sa spracúvanie zakladá na zmluvnom dôvode a plnení zákonných povinností, a preto sú tieto dva kľúčové.
Vzťah medzi účtovníkom a klientom ako sprostredkovateľský vzťah
Externý účtovník je vo vzťahu k osobným údajom spravidla sprostredkovateľom, nie prevádzkovateľom. V praxi to znamená, že klient (napr. firma) je prevádzkovateľom osobných údajov a účtovník koná v jeho mene a na jeho pokyn.
Povinnosti vyplývajúce zo sprostredkovania:
- Uzavrieť zmluvu o spracúvaní osobných údajov podľa čl. 28 GDPR
- Spracúvať údaje len na pokyn klienta a v súlade s účelom
- Zabezpečiť technické a organizačné opatrenia na ich ochranu
- Nezverejňovať alebo neposúvať údaje bez súhlasu prevádzkovateľa
Bez takejto zmluvy môže byť spracúvanie považované za nezákonné.
Kategórie osobných údajov spracúvaných účtovníkom
Účtovník v praxi pracuje s rôznym rozsahom osobných údajov – niektoré sú bežné, iné spadajú medzi citlivé údaje.
Najčastejšie spracúvané údaje:
- Meno, priezvisko, titul
- Rodné číslo (napr. pri výkazoch do Sociálnej poisťovne)
- Adresy trvalého a prechodného pobytu
- Údaje o plate a mzdách
- Bankové spojenie
- Údaje zo zdravotných poistení
- Identifikačné údaje o zamestnancoch, zmluvných partneroch
Ak účtovník spracúva citlivé údaje (napr. o zdravotnom stave), platia prísnejšie pravidlá.
Ako zabezpečiť ochranu osobných údajov v účtovníctve
Technické a organizačné bezpečnostné opatrenia sú nevyhnutné. Účtovník musí zabezpečiť, aby údaje nezneužila neoprávnená osoba.
Odporúčané opatrenia:
- Heslom zabezpečené počítače a prístupové systémy
- Antivírusová ochrana a firewall
- Šifrovanie dát pri prenose a ukladaní
- Pravidelné zálohovanie údajov
- Školenia zamestnancov (ak má účtovník kolektív)
- Žiadna manipulácia s údajmi mimo zabezpečeného pracoviska
Ideálne je viesť aj záznamy o spracovateľských činnostiach a mať vypracovanú internú smernicu o GDPR.
Práva dotknutých osôb a ako s nimi účtovník narába
Každá fyzická osoba má svoje práva – aj vo vzťahu k svojej personalistike a účtovným údajom.
Najdôležitejšie práva dotknutých osôb:
- Právo na informácie o spracúvaní
- Právo na prístup ku svojim údajom
- Právo na opravu nepresných údajov
- Právo na výmaz (v určitých prípadoch)
- Právo namietať proti spracúvaniu
Účtovník má povinnosť spolupracovať pri vybavovaní týchto práv, ale nie samostatne – vždy pod vedením svojho klienta (prevádzkovateľa).
Dôsledky nedodržania pravidiel ochrany údajov
Nedodržanie zákonných pravidiel môže mať vážne právne a ekonomické následky – nielen pre účtovníka, ale aj klienta.
Možné sankcie zahŕňajú:
- Pokuty od Úradu na ochranu osobných údajov – môžu dosahovať desiatky tisíc EUR
- Poškodenie reputácie účtovnej kancelárie
- Občianskoprávna zodpovednosť za škodu
- Strata klientov
Minimalizovať riziká možno len vtedy, ak je účtovník informovaný, zodpovedný a má správne zmluvné i technické zabezpečenie svojich činností.
Záver a odporúčania pre účtovníkov
Aby externý účtovník mohol spracúvať osobné údaje dotknutých osôb zákonne a bezpečne, musí:
- Identifikovať právny základ spracúvania
- Mít uzatvorenú zmluvu s prevádzkovateľom údajov
- Prijať adekvátne technické a organizačné opatrenia
- Dodržiavať práva dotknutých osôb
- Brať ochranu údajov ako prioritu, nie formalitu
Účtovníctvo nie je len číselná profese – ide aj o dôveru a zodpovednosť pri spracúvaní údajov.
Správne nastavené legislatívne a zmluvné rámce ochránia nielen účtovníka, ale aj klienta a všetky dotknuté osoby.
