Externý účtovník má podľa GDPR postavenie sprostredkovateľa, ktorý spracúva osobné údaje v mene a na pokyn prevádzkovateľa – čiže firmy alebo podnikateľa, pre ktorých účtovné služby vykonáva. Táto definícia je kľúčová pre porozumenie právnej zodpovednosti účtovníka aj jeho povinností pri ochrane osobných údajov. V praxi to znamená, že aj keď účtovník spracúva citlivé dáta tretích strán (zamestnancov, klientov, dodávateľov), nie je za ne plne zodpovedný tak, ako agent, ale ako „predĺžená ruka“ firmy. GDPR teda kladie na účtovníkov konkrétne požiadavky, ktoré musia byť implementované v súlade s platnou legislatívou.
V tomto článku sa zameriame komplexne na otázky týkajúce sa úlohy externého účtovníka v rámci GDPR, jeho práv a povinností, vzťahu s klientom – prevádzkovateľom, ako aj dôležitosti zmluvy o spracúvaní údajov. Pozrieme sa aj na to, aké údaje účtovník typicky spracúva, a čo všetko musí zabezpečiť, aby sa vyhol sankciám. Cieľom je podať ucelený pohľad na túto problematiku z pohľadu legislatívy aj reálnej praxe, čím bude článok užitočný pre podnikateľov, firmy aj samotných účtovníkov.
Definícia postavenia externého účtovníka podľa GDPR
Podľa nariadenia (EÚ) 2016/679 o ochrane osobných údajov (GDPR) je externý účtovník považovaný za sprostredkovateľa. Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Prevádzkovateľ je ten, kto stanovuje účel a prostriedky spracúvania osobných údajov – v tomto prípade firma, ktorá si najíma účtovníka. Externý účtovník vykonáva spracovanie údajov len v rozsahu a spôsobom určeným prevádzkovateľom.
V tomto vzťahu teda:
- Firma = prevádzkovateľ
- Účtovník = sprostredkovateľ
Toto postavenie určuje, aké povinnosti má účtovník, aké záväzky musí dodržiavať a čo všetko má s firmou upravené v zmluvnom vzťahu.
Zmluva medzi účtovníkom a firmou: povinné náležitosti
Aby bol vzťah medzi prevádzkovateľom a sprostredkovateľom v súlade s GDPR, musí byť uzatvorená písomná zmluva o spracúvaní osobných údajov.
Čo musí zmluva obsahovať?
Podľa článku 28 GDPR musí obsahovať najmä tieto body:
- predmet a trvanie spracúvania,
- povaha a účel spracúvania,
- druh spracúvaných osobných údajov,
- kategórie dotknutých osôb (napr. zamestnanci, dodávatelia),
- práva a povinnosti prevádzkovateľa,
- záväzok účtovníka udržiavať dôvernosť údajov,
- bezpečnostné opatrenia na ochranu údajov,
- postupy pre prípad osobného porušenia údajov (data breach),
- možnosti kontroly zo strany prevádzkovateľa.
Táto zmluva musí byť podpísaná pred začiatkom poskytovania účtovných služieb, aby bola právne záväzná a zodpovedala požiadavkám dátovej ochrany.
Aké osobné údaje účtovník spracúva?
Účtovník prichádza do styku s obrovským množstvom osobných údajov, ktoré môže spracúvať len v súlade s účelom, na ktorý mu boli zverené. Typicky ide o:
- Údaje o zamestnancoch – meno, priezvisko, adresa, rodné číslo, číslo účtu, mzda, odmeny, prítomnosť/absencie, zdravotná poisťovňa, daňové číslo, výkazy pre daňový úrad.
- Údaje o klientoch a obchodných partneroch – fakturačné a kontaktné údaje, údaje o platbách, čísla bankových účtov.
- Údaje o štatutárnych zástupcoch – v prípade spracovania dokumentov potrebných na podpisovanie zmlúv alebo rokovaní.
Mnohé z týchto údajov možno považovať za citlivé osobné údaje, najmä ak ide o údaje o zdravotnom stave, členstve v odboroch (napr. v súvislosti s výplatami), alebo trestnoprávne údaje v prípade daňových kontrol.
Povinnosti a zodpovednosti účtovníka ako sprostredkovateľa
Externý účtovník má ako sprostredkovateľ podľa GDPR niekoľko povinností:
1. Zachovanie dôvernosti
Účtovník je viazaný mlčanlivosťou. Nemôže tretím stranám poskytovať žiadne údaje klienta bez jeho výslovného pokynu alebo zákonnej povinnosti.
2. Bezpečnosť údajov
Musí zabezpečiť najvhodnejšie technické a organizačné opatrenia na ochranu údajov, ako napríklad:
- použitie šifrovania dát,
- zabezpečenie prístupu do účtovného softvéru,
- pravidelné zálohovanie,
- antivírusová ochrana a firewall.
3. Informatívna pomoc prevádzkovateľovi
Účtovník musí pomáhať klientovi so zabezpečením práva dotknutých osôb alebo s plnením povinností pri porušení ochrany údajov.
4. Vedenie záznamov o spracovateľských činnostiach (v určitých prípadoch)
Ak účtovník spracúva údaje vo väčšom rozsahu alebo systematicky monitoruje údaje, môže byť povinný viesť vlastné záznamy o spracovateľskej činnosti.
Kedy účtovník zodpovedá za porušenie GDPR?
Aj keď externý účtovník spracúva údaje na pokyn prevádzkovateľa, má samostatnú zodpovednosť za porušenie GDPR, ak úmyselne alebo z nedbanlivosti poruší nariadenie.
Typické prípady zlyhania:
- neoprávnený prístup k údajom,
- neuvedenie porušenia ochrany údajov klientovi,
- ukladanie údajov bez primeranej ochrany.
Za tieto porušenia môže byť účtovník pokutovaný samotným úradom na ochranu osobných údajov, ak sa zistí, že porušil svoju povinnosť ako sprostredkovateľ údajov.
Najlepšie praktiky pre účtovníkov pri spracúvaní údajov
Aby účtovník konal v súlade s GDPR a chránil seba aj svojich klientov pred rizikami, odporúča sa dodržiavať tieto zásady:
- Uzavrieť vždy zmluvu o spracúvaní osobných údajov.
- Pravidelne revidovať a aktualizovať bezpečnostné opatrenia.
- Neukladať údaje mimo dôveryhodného účtovného softvéru.
- Školenie personálu (ak má zamestnancov) v oblasti OÚ.
- Vyhýbať sa uchovávaniu údajov dlhšie, ako je nevyhnutné.
Záver: Ako správne nastaviť spoluprácu s účtovníkom v zmysle GDPR?
Z pohľadu GDPR je nevyhnutné, aby bol vzťah medzi firmou a externým účtovníkom jasne zadefinovaný a právne korektný. Správna zmluvná úprava, kontrola bezpečnostných pravidiel a zodpovedný prístup účtovníka sú kľúčové pre ochranu osobných údajov.
Prevádzkovateľ by nemal svoje povinnosti preniesť úplne na účtovníka – je dôležité mať obojstranné pochopenie práv a zodpovedností. Externý účtovník musí vedieť, že i keď je „len“ sprostredkovateľ, GDPR sa na neho vzťahuje v plnom rozsahu. V opačnom prípade hrozia nielen pokuty, ale aj strata dôvery zo strany klienta.
Spravným právnym a technickým nastavením sa môžu obe strany tejto spolupráce vyhnúť rizikám a zabezpečiť zhodu s legislatívou EÚ v oblasti ochrany osobných údajov.
