dnes je 25.11.2020

Input:

Otázky zúčetní a daňové praxe

5.8.2018, , Zdroj: Verlag Dashöfer

1.7.4
Otázky z účetní a daňové praxe

JUDr. Tereza Drábková, Dr. Milan Vodička

Na následujících řádcích budou stručně popsány otázky, s nimiž jsme se setkávali na přednáškách pro účetní, daňové poradce a ekonomy. Některé z nich by vám mohly pomoci ve vaší praxi.

Údaje v evidenci

V evidenci mám spoustu údajů klientů, se kterými již několik let nejsem v kontaktu. Znamená to, že bych je nyní měla vymazat? Nebo se vztahuje GDPR až na nově pořízená data?

Nařízení GDPR se vztahuje na veškerá data v evidenci bez ohledu na okamžik, kdy byla získána. V prvé řadě bude nezbytné je posoudit z pohledu Nařízení, tedy jestli jejich rozsah odpovídá účelu, pro který byla shromážděna, zda je odůvodnitelná doba, po kterou je máte v evidenci, a jestli jsou vhodně zabezpečena. Pokud lze konstatovat, že údaje jsou v rozsahu nezbytném pro plnění účelu, a ještě neuplynula doba, pro kterou je možné najít důvod zpracování (archivace), není nutné je vymazat. V opačném případě je výmaz nezbytný, případně lze provést anonymizaci.

Musíme bývalým zákazníkům, které ještě máme v evidenci kvůli případným reklamacím, posílat informační oznámení podle GDPR?

Zákazníkům (klientům, partnerům), s nimiž jste měli kontakt v minulosti, nemusíte posílat žádné oznámení, informační povinnost vzniká v okamžiku získání osobních údajů a má tedy význam jen u současných, aktivních zákazníků nebo klientů. Na druhou stranu je ale nutné si uvědomit, že i bývalí zákazníci, jejichž data máte v evidenci, mají vůči vám jako správci údajů práva dle Nařízení, tedy právo na přístup, na výmaz a opravu, právo vznést námitku a na omezení zpracování.

S klienty neuzavíráme smlouvu o daňovém poradenství ani na vedení účetnictví, pokud jim poskytneme jen konzultaci. Vystavujeme v takové chvíli pouze zjednodušený daňový doklad, bez označení osoby, pro kterou se uskutečňuje plnění. Často se vše odehrává jen prostřednictvím e-mailů. Vztahuje se na takový případ GDPR?

Bezpochyby vztahuje, předpokládáme, že klient, kterému poskytujete konzultaci, vám umožnil získat některé své osobní údaje (minimálně adresu elektronické pošty, ale nejspíš i jméno a příjmení a podobně). Především se ale na vaši činnost vztahují ustanovení zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti (AML zákon). Ten mezi povinné osoby řadí kromě jiného i daňové poradce, auditory a účetní a mezi jejich povinnosti patří identifikace klienta také při vzniku obchodního vztahu (není nutné uzavření smlouvy). Až na výjimky1 musí tato identifikace proběhnout za fyzické přítomnosti klienta a listiny o identifikaci musíte uchovávat deset let.

V šanonech máme uloženy spousty dokladů (faktury, dodací listy, lístky o přepravě ad.), na kterých jsou uvedeny osobní údaje (jméno a příjmení) fyzických osob jako třeba řidičů, skladníků nebo fakturantek. Znamená to, že zpracováváme i jejich údaje a oni např. mohou přijít nahlížet do našich evidencí v rámci práva na přístup? Takových osob budou stovky, možná tisíce.

Jsme toho názoru, že osobní údaje, s nimiž přijdete v podstatě náhodně do styku při zpracování došlých listin (např. likvidaci faktur), nezpracováváte ve smyslu Nařízení. Vycházíme z věcné působnosti Nařízení, podle níž se při neautomatizovaném zpracování vztahuje na ty osobní údaje, které jsou v evidenci nebo do ní budou zařazeny. Podle definice Nařízení je evidence strukturovaným souborem údajů přístupných podle zvláštních kritérií. Záznamy, které nejsou uspořádány podle určených hledisek, nespadají do oblasti působnosti Nařízení.2

Na účetních i daňových dokladech máme podpisy osob odpovědných za účetní případ a za zaúčtování. Není to v kolizi s GDPR, když se v případě vlastnoručního podpisu jedná vlastně o biometrický údaj?

Z hlediska zákonnosti zpracování vycházíte ze splnění právní povinnosti, konkrétně ustanovení zákona o účetnictví, který v § 11 odst. 1 písm. f) ZoÚ uvádí, že účetní doklad musí obsahovat podpisové záznamy (vlastnoruční nebo uznávaný elektronický podpis) osob, které uvádíte. Samotný vlastnoruční podpis sice obsahuje biometrické údaje (sklon písma, tlak na podložku apod.), ale dle stanoviska Úřadu pro ochranu osobních údajů je archivací s doklady nezpracováváte, k tomu by došlo až v případě, že byste podpis např. předložili grafologovi ke zkoumání pravosti. Jiná situace by ovšem nastala v případě, že byste pro oběh dokladů v digitalizované podobě chtěli využívat technologii dynamického biometrického podpisu. Pak by byl nutný výslovný a jednoznačný souhlas dotčených osob.3 Podobně je nutno postupovat i v případě využití jiných technologií na bázi biometrických údajů (otisk prstu, dlaně ad.).

V rámci zpracování daní a mezd máme evidované i údaje o zdravotně postižených zaměstnancích klientů nebo dětech s průkazkou ZTP a podobně, údajně je shromažďování takových informací Nařízením GDPR zakázáno. Nebo by pomohlo jmenování pověřence?

Nařízení sice skutečně v článku 9 odst. 1 zakazuje zpracování tzv. zvláštní kategorie osobních údajů, do které spadají i informace o zdravotním stavu, ale předpokládáme, že splňujete některou z výjimek v odst. 2, pro které je zpracování umožněno. Nejspíše se bude jednat o písmeno b), tedy že zpracování je nezbytné pro plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti práva pracovního, práva sociálního zabezpečení nebo sociální ochrany. Případně podle písmene f) to znamená, že zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků. Jmenování pověřence pro ochranu osobních údajů není nutné, protože se ve vašem případě nejedná o rozsáhlé zpracování zvláštních kategorií osobních údajů, které by představovalo hlavní činnost (viz článek 37 Nařízení).

Jestliže máme v osobních spisech zaměstnanců založen protokol ze vstupní prohlídky, zpracováváme citlivé osobní údaje?

V prvé řadě bychom doporučili zvážit, jestli je pro pracovněprávní účely nutné mít založen celý uvedený protokol obsahující řadu informací o zdravotním stavu zaměstnance, které ale rozhodně nejsou nezbytné. Při zohlednění požadavku minimalizace osobních údajů je žádoucí omezit archivaci na výsledek lékařské prohlídky ve smyslu schopen pracovního zařazení nebo schopen s omezením, případně neschopen. Pak již nebude docházet ke zpracování zvláštní kategorie osobních údajů, ale především bude naplněno Nařízení z pohledu zákonnosti zpracování.

Při zapůjčení nářadí nebo elektrospotřebičů vyšší hodnoty si kopírujeme občanské průkazy zákazníků. Po skončení zápůjčky ale tyto kopie likvidujeme; je to v souladu s GDPR?

Neuvádíte, jestli ke kopírování průkazů nebo cestovních dokladů máte prokazatelný souhlas držitele. Pokud ne, porušujete především platné zákony, které pořizování takových kopií zakazují.4 Z pohledu ochrany osobních údajů se jedná o zákazníky, kterým (jak předpokládáme) vystavujete doklady dle předpisů o účetnictví, zákona o DPH, případně zákona o ochraně spotřebitele, kdy údaje fyzických osob potřebujete ke splnění právních povinností anebo plnění ze smlouvy. V úvahu dále přichází oprávněný zájem správce ve smyslu zamezení podvodům. K zákonnosti zpracování osobních údajů tedy máte dostatek důvodů, otázkou je, zda ke všem uvedeným, na kopii občanského průkazu, pro její pořízení ale potřebujete souhlas zákazníka.

Předávání údajů

Pokud posíláme osobní údaje klientů a zaměstnanců orgánům veřejné moci (OVM), jsou považováni za příjemce? A jak se vlastně pozná, že jednáme s orgánem veřejné moci – např. obec založí s. r. o., je to OVM nebo není?

Pokud jsou osobní údaje sdělovány orgánu veřejné moci (dále OVM) pro účely výkonu jeho úředních povinností (typicky daňové, správní nebo celní orgány), není považován za příjemce dle Nařízení (viz recitál bod 31). Podmínkou ovšem je, že se jedná o údaje v nezbytném rozsahu, které jsou předány na základě právní povinnosti.

Definice orgánů veřejné moci je v právní teorii uváděna jako orgán, který reprezentuje veřejnou moc a je ze zákona oprávněn autoritativně rozhodovat o právech a povinnostech fyzických či právnických osob nebo jinak zasahovat do jejich právní sféry, a to buď přímo (moc výkonná a soudní), nebo zprostředkovaně (moc zákonodárná). V praxi můžete využít skutečnosti, že od 1. 7. 2017 je v rámci základních registrů v provozu rejstřík OVM a každému subjektu, který je do něj zapsán, je ze zákona zřízena datová schránka OVM.5 Ve veřejném seznamu datových schránek6 se tak můžete přesvědčit, jestli má