2018.9.1
Implementace GDPR v účetním oddělení
JUDr. Dušan Srp, Ph.D.
Tento článek navazuje na úvodní text nazvaný "GDPR co je dobré vědět", který představil základní pojmy, pravidla, práva a povinnosti pro správce, zpracovatele a subjekty údajů uvedené v GDPR. Rekapituluji, že GDPR je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (zkráceně "Obecné nařízení" či "GDPR") a nabývá účinnosti a použitelnosti dne 25. 5. 2018. Všichni správci a zpracovatelé proto musí k tomuto dni upravit své vnitřní procesy, postupy a užívanou dokumentaci jak vnitřní, tak vůči třetím stranám.
NahoruI. Na koho se GDPR vztahuje z hlediska účetnictví?
Z hlediska věcné působnosti se Obecné nařízení vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. "Evidencí" se rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
Z účetního pohledu lze konstatovat, že GDPR se z hlediska povinností vztahuje na všechny osoby – účetní jednotky, které musejí vést účetnictví dle zákona o účetnictví č. 563/1991 Sb. Je jedno, zda se jedná o osobu právnickou nebo fyzickou. Tyto osoby nepochybně budou zpracovávat osobní údaje fyzických osob – subjektů údajů a GDPR se na ně uplatní. V terminologii GDPR se jedná o správce, kteří provádí zpracování osobních údajů nebo zpracovatele, kteří pro správce osobní údaje zpracovávají.
GDPR se nevztahuje na zpracování osobních údajů prováděné:
- při výkonu činností, které nespadají do oblasti působnosti práva Evropské Unie;
- členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
- fyzickou osobou v průběhu výlučně osobních či domácích činností;
- příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
Náš "modelový" podnik má 50 zaměstnanců, vede jen interní účetnictví týkající se jeho provozu a svých zaměstnanců. Podnik zpracovává vzhledem ke svému provozu relativně málo osobních údajů, přesto se však nevyhne zpracování osobních údajů svých zaměstnanců a smluvních partnerů. Nevztahuje se na něj žádná z výjimek z působnosti GDPR, musí se tedy na GDPR připravit.
O pracovní přestávce si zaměstnanec našeho "modelového" podniku udělá fotku sebe a několika kolegů, aby mohl kolegy ukázat doma. Kolegové s focením souhlasili. GDPR se na takový případ nevztáhne.
NahoruII. Osobní údaje v účetním oddělení
Úkolem účetního oddělení je vést účetnictví účetní jednotky. Může se jednat o interní vedení účetnictví pro společnost, může se jednat o externí vedení účetnictví pro třetí osobu. V obou případech účetní oddělení nakládá či může nakládat s osobními údaji fyzických osob, terminologicky dle GDPR subjektů údajů. Subjekty údajů mohou být různé fyzické osoby, např. zaměstnanci správce při interním vedení účetnictví či klienta při externím vedení účetnictví, smluvní partneři, dodavatelé, odběratelé či jiné fyzické osoby, jejichž osobní údaje byly předané do účetního oddělení ke zpracování.
Je třeba důkladně zmapovat, jaké osobní údaje subjektů údajů jsou v účtárně zpracovány. Jakýkoli údaj, který umožňuje přímo či nepřímo identifikovat konkrétní fyzickou osobu, je osobním údajem. Osobním údajem může být jen jeden údaj nebo více údajů, které teprve dohromady umožní určit konkrétní fyzickou osobu. Mohou jimi být např. jméno, adresa, trvalé bydliště, doručovací adresa, pohlaví, věk, datum narození, místo narození, rodné číslo, osobní stav, fotografický záznam, video a audio záznam, e-mailová adresa (zvláště pokud obsahuje jméno a firmu), telefonní číslo – soukromé i pracovní, IP adresa, různé identifikační údaje vydané státem jako identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu, vzdělání, mzda, osobní údaje dětí nebo manžela/manželky, resp. partnera/partnerky aj. Tyto osobní údaje se v účetním oddělení budou nacházet v účetních dokladech, smlouvách, fakturách, dopisech, formulářích, zápisech z jednání aj. Účetní oddělení tyto osobní údaje potřebuje pro výkon své činnosti, řečeno slovy GDPR je s osobními údaji prováděno zpracování, tj. shromažďování a nejrůznější formy nakládání s nimi až po jejich archivaci a zničení. Osobní údaje, které účetní oddělení pro výkon své činnosti či z jiných vnitropodnikových důvodů nepotřebuje, je vhodné odstranit, anonymizovat, dle zásady minimalizace údajů.
Dále je třeba důkladně brát na vědomí citlivé údaje, tedy dle GDPR tzv. zvláštní kategorie osobních údajů. To jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Zpracování těchto osobních údajů spojuje GDPR s dalšími povinnostmi a specialitami.
Náš "modelový" podnik má 50 zaměstnanců, vede jen interní účetnictví týkající se jejího provozu a svých zaměstnanců. Podnik zpracovává relativně málo osobních údajů a vzhledem ke svému provozu by neměl zpracovávat zvláštní kategorie osobních údajů a není v jeho obchodní činnosti nutné je zpracovávat. V jeho zájmu tedy není je zpracovávat. V rámci přípravy na GDPR provede proto podnik pečlivou kontrolu, zda skutečně nezpracovává zvláštní kategorie osobních údajů a provede opatření, aby takového údaje, pokud by se k němu dostaly, nebyly zpracovávány, popř. provede jejich anonymizaci, čímž se na ně přestane vztahovat GDPR. Přesto zvláštní kategorie osobních údajů by zpracovával, pokud např. obdrží zdravotní údaj o svém zaměstnanci.
NahoruIII. Postup při přípravě na GDPR z pohledu účetního oddělení
Příprava na GDPR se týká celého podniku, všech jeho částí a oddělení. Podnik by měl na centrální úrovni rozhodnout o postupu při přípravě na GDPR, vytvořit ideálně team zaměstnanců odpovědných za implementaci GDPR v celém podniku a jeho jednotlivých odděleních.
Účetní oddělení by mělo provést tyto činnosti z hlediska implementace:
Krok 1: Zmapování aktuálního stavu zpracování osobních údajů v účetním oddělení
Účetní oddělení by si mělo zrekapitulovat dle stávající praxe a právních předpisů, jaké osobní údaje jsou v účtárně zpracovávány, jakým způsobem se s nimi nakládá, jaké dokumenty se zpracování týkají, jak jsou údaje zabezpečeny aj. Pokud by se zjistily nedostatky, při jejich nápravě je více než vhodné již přihlížet k novým pravidlům dle GDPR.
Krok 2: Co by dále účetní oddělení mělo vědět
Účetní oddělení by mělo mít tyto informace:
a) Bude mít podnik povinnost vést záznamy o činnostech zpracování?
Každý správce vede záznamy o činnostech zpracování, za něž odpovídá. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech. Záznamy se vedou v písemné formě, což zahrnuje i formu elektronickou.
Náš "modelový" podnik má 50 zaměstnanců, vede jen interní účetnictví týkající se jejího provozu a svých zaměstnanců. Podnik nenaplňuje podmínky GDPR pro vedení záznamů. Podnik se přesto rozhodne záznamy vést. Dobrovolné vedení záznamů o činnostech zpracování lze jen doporučit, je praktické pro podnik z hlediska orientace ve zpracování, výkonu práv subjektů údajů a kryje záda podniku při prokazování plnění povinností dle GDPR.
b) Bude muset podnik jmenovat pověřence pro ochranu osobních údajů?
Případy, kdy vzniká povinnost jmenovat pověřence, upravuje GDPR. Úkolem pověřence je zejména poskytování informací a poradenství správci či zpracovateli, jakož i jejich zaměstnancům, kteří se na zpracování podílejí, sledování souladu zpracování s GDPR a spolupráce s dozorovým úřadem. Pokud podnik pověřence jmenuje, účetní oddělení se na něj může obracet s dotazy ke zpracování. Pověřence lze jmenovat i dobrovolně.
Náš "modelový" podnik má 50 zaměstnanců, vede jen interní účetnictví týkající se jejího provozu a svých zaměstnanců. Podnik nenaplňuje podmínky GDPR pro povinné jmenování pověřence. Podnik se rozhodne pověřence nejmenovat dobrovolně. Podnik nicméně určí interně zaměstnance, který bude mít na starost zajišťovat soulad zpracování. Takovýto zaměstnanec není pověřencem dle GDPR.
c) Bude muset podnik provést posouzení vlivu ochranu osobních údajů?
Posouzením vlivu na ochranu osobních údajů se rozumí provedení posouzení vlivu na ochranu osobních údajů správcem před provedením zpracování. Správce jej musí provést tehdy, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob.
Náš "modelový" podnik má 50 zaměstnanců, vede jen interní účetnictví týkající se jejího provozu a svých zaměstnanců. Podnik nenaplňuje podmínky GDPR pro povinné posouzení vlivu, a proto jej neprovádí.
d) Budou v účtárně zpracovávány zvláštní kategorie osobních údajů?
Účetní oddělení si musí být vědomo, co jsou zvláštní kategorie osobních údajů. Pokud by takové údaje měly být v účtárně zpracovány, musel by být k tomu zvláštní právní důvod a jejich zpracování vyžaduje důraz na zvýšené zabezpečení.
Náš "modelový" podnik má 50 zaměstnanců, vede jen interní účetnictví týkající se jejího provozu a svých zaměstnanců. Podnik pravidelně kontroluje, zda nezpracovává zvláštní kategorie osobních údajů subjektů údajů. Pokud by takový údaj došel do účetního oddělení, nebude jej dále uchovávat či jinak zpracovávat a ihned jej zlikviduje, tj. provede jeho anonymizaci.
e) Bude v účtárně prováděno automatizované individuální rozhodování včetně profilování?
Automatizované individuální rozhodování je takové, které je založeno výhradně na automatizovaném zpracování, tedy kde rozhodovací proces probíhá bez lidského vlivu.
Profilováním rozumí rozhodování skládající se ze tří prvků:
- musí jít o automatizovanou formu zpracování;
- musí být prováděno s osobními údaji; a
- předmětem profilování musí být vyhodnocování osobních aspektů týkajících se fyzických osob.
Obecně je tento proces zakázaný, ledaže je nezbytný pro plnění po uzavření nebo plnění smlouvy nebo je založen na souhlasu subjektu údajů. Ještě přísnější pravidla poté platí, pokud by takto mělo být rozhodováno o údajích zvláštní kategorie.
Náš "modelový" podnik má 50 zaměstnanců, vede jen interní účetnictví týkající se jejího provozu a svých zaměstnanců. Podnik si vyhodnotí, že veškerá rozhodnutí v něm prováděná, ačkoli při nich jsou použity moderní technické pomůcky, vždy ovlivňuje člověk.…