GDPR v fakturaci: Bezpečné nastavení pro malé podniky krok za krokem

Evropské nařízení o ochraně osobních údajů (GDPR) platí už od roku 2018, přesto se v České republice stále najde řada malých podniků, které mají v ochraně dat zásadní mezery. Nejcitlivější oblastí bývá často právě fakturace. Právě zde totiž firmy běžně zpracovávají osobní údaje svých zákazníků, obchodních partnerů nebo zaměstnanců. Přestože většina fakturačních systémů nabízí základní GDPR funkce, bezpečné a správné nastavení celého procesu zůstává často na samotném podnikateli.

V tomto článku přinášíme praktický návod, jak malé podniky mohou nastavit bezpečné a GDPR-kompatibilní fakturační procesy. Zaměříme se na konkrétní kroky, které je potřeba udělat, vysvětlíme klíčové pojmy, ukážeme, na co si dát pozor při výběru fakturačního systému a nabídneme srovnání nejčastějších způsobů správy faktur z pohledu GDPR.

GDPR (General Data Protection Regulation) stanovuje jasná pravidla pro zpracování osobních údajů. I když fakturace patří mezi tzv. zákonné zpracování, protože je vyžadována účetní legislativou, podnikatelé nesmí na ochranu osobních údajů zákazníků zapomínat.

Konkrétní data, která se ve fakturaci běžně zpracovávají: - jméno a příjmení zákazníka - adresa trvalého bydliště - IČO, DIČ (u OSVČ) - e-mail nebo telefon

Podle průzkumu Úřadu pro ochranu osobních údajů z roku 2023 až 37 % malých firem v ČR neumí přesně popsat, kde a jak jsou osobní údaje v jejich firmě zpracovávány. To je zvlášť rizikové v případě elektronické fakturace, kdy data proudí přes různé platformy, cloudová úložiště nebo e-maily.

Pro zajištění souladu s GDPR doporučujeme následující postup, který je vhodný i pro malé podniky bez vlastního IT zázemí:

1. $1 Sepište si, kde a jaká osobní data v rámci fakturace uchováváte a zpracováváte (fakturační systém, e-mail, účetní program, papírové archivy). 2. $1 Upřednostněte systémy, které deklarují soulad s GDPR, mají jasnou politiku zálohování a šifrování dat a umožňují správu uživatelských práv. 3. $1 Nastavte přístupová práva tak, aby se k osobním údajům dostaly jen pověřené osoby (např. účetní, jednatel). 4. $1 Pokud využíváte externí fakturační software, žádejte smlouvu o zpracování osobních údajů podle článku 28 GDPR. 5. $1 Faktury musíte uchovávat 10 let, po uplynutí této lhůty musí být osobní údaje bezpečně smazány či anonymizovány. 6. $1 Každý, kdo pracuje s fakturací, by měl znát základní pravidla GDPR a bezpečné zacházení s osobními údaji.

Právě nedostatečné nastavení přístupů a slabé heslo bývají v malých firmách častým důvodem úniku dat – podle statistik NÚKIB z roku 2022 se takto stalo až v 28 % zaznamenaných incidentů.

Při výběru fakturačního systému by malé podniky měly vedle ceny a funkčnosti sledovat i bezpečnostní parametry a možnosti správy osobních údajů. Zaměřte se na tyto otázky:

- Kde jsou data fyzicky uložena (EU, mimo EU)? - Jak je systém zálohuje a jak rychle lze data obnovit? - Má systém dvoufaktorovou autentizaci a možnost nastavit uživatelská práva? - Nabízí poskytovatel zpracovatelskou smlouvu? - Umožňuje snadné anonymizování/smazání osobních údajů po uplynutí zákonné lhůty?

Podívejme se na srovnání tří běžných přístupů k fakturaci:

Typ fakturace	Bezpečnost dat	GDPR podpora	Možnost správy přístupů	Archivace
Papírové faktury	Riziko ztráty, krádeže	Nutnost fyzické ochrany	Omezená (zamčené archivy)	Obtížné mazání, spálení
Lokální software (PC)	Závislé na zabezpečení PC	Na uživateli (aktualizace, hesla)	Možnost více uživatelů	Snadné mazání, nutné zálohy
Cloudový systém	Šifrování, zálohování	Většinou smluvní záruky GDPR	Detailní správa přístupů	Automatizovaná archivace

Z výše uvedeného vyplývá, že pro většinu malých podniků je nejbezpečnější variantou moderní cloudový fakturační systém, který splňuje požadavky GDPR a nabízí automatizované nástroje pro správu osobních údajů.

Ani sebelepší fakturační systém nepomůže, pokud bude špatně nastaven nebo budou chybovat samotní uživatelé. Podle kontrol ÚOOÚ z roku 2023 jsou nejčastějšími chybami v malých firmách:

- Uchovávání faktur s osobními údaji na nechráněných USB discích - Posílání faktur přílohou prostého e-mailu bez šifrování - Sdílení přístupových údajů mezi více zaměstnanci - Chybějící pravidla pro mazání starých faktur po uplynutí zákonné lhůty - Absence záznamu o zpracování osobních údajů (povinnost dle čl. 30 GDPR)

Podstatné je také vědět, že za porušení GDPR hrozí pokuty až do výše 20 milionů eur nebo 4 % celkového ročního obratu (podle toho, která částka je vyšší). V praxi však ÚOOÚ u malých firem uplatňuje spíše nižší pokuty – v roce 2023 byla průměrná sankce 28 000 Kč.

Zavedení GDPR do fakturační praxe nemusí být složité, pokud budete postupovat systematicky:

- Pravidelně aktualizujte software a používejte silná hesla - Šifrujte citlivá data a komunikaci (např. faktury zasílejte přes zabezpečené portály) - Pravidelně zálohujte a testujte obnovu dat - Využívejte dvoufaktorovou autentizaci - Při změně účetní nebo ukončení spolupráce s externím zpracovatelem si vyžádejte likvidaci dat - Vytvořte jednoduchý interní předpis, který shrnuje pravidla zpracování a ochrany osobních údajů u fakturace (postačí jednostránkový dokument)

Inspirujte se například jednoduchou strukturou „záznamu o činnostech zpracování“:

- Účel zpracování: fakturace odběratelům - Kategorie údajů: jméno, adresa, IČO, DIČ, kontakty - Kategorie subjektů: zákazníci, obchodní partneři - Kdo má přístup: účetní, jednatel - Doba uchování: 10 let od vystavení faktury - Technická opatření: šifrování, zálohování, hesla

Sankce a kontroly: Jak se vyhnout problémům s ÚOOÚ

Český Úřad pro ochranu osobních údajů (ÚOOÚ) provedl v roce 2023 více než 120 kontrol u malých firem a živnostníků. Kontroloři se nejčastěji zaměřují na to, jak firmy chrání osobní údaje v účetnictví a fakturaci. Nejčastějšími důvody pro zahájení kontroly jsou stížnosti zákazníků na neoprávněné nakládání s jejich daty nebo úniky faktur s osobními údaji.

Aby vaše firma prošla kontrolou bez problémů: - Mějte připravený záznam o zpracování osobních údajů - Ukažte, že používáte bezpečný fakturační systém s dostatečnými technickými opatřeními - Pokud využíváte externí dodavatele (např. cloudové služby), dodejte zpracovatelskou smlouvu - Doložte pravidla pro uchovávání a mazání faktur

Důležité je také pravidelně revidovat procesy – minimálně jednou za rok projděte, zda vše odpovídá aktuálním požadavkům a změnám v legislativě.

GDPR je pro malé podniky výzvou, ale i příležitostí, jak nastavit bezpečné a efektivní procesy. Klíčové je: - Zmapovat, kde všude vaše firma zpracovává osobní údaje v rámci fakturace - Vybrat kvalitní fakturační systém s podporou GDPR, ideálně cloudový - Nastavit pravidla přístupů, archivace a mazání dat - Pravidelně školit zaměstnance a revidovat interní postupy

Dodržování těchto zásad nejen sníží riziko pokuty, ale posílí i vaši důvěryhodnost u zákazníků a obchodních partnerů.

FAQ

▸ Musím mít zpracovatelskou smlouvu, pokud používám online fakturační systém?

Ano, pokud fakturační systém provozuje externí dodavatel, který má přístup k osobním údajům vašich zákazníků, je uzavření zpracovatelské smlouvy podle článku 28 GDPR povinné.

▸ Jak dlouho musím uchovávat faktury s osobními údaji?

Dle zákona o účetnictví je nutné uchovávat faktury 10 let. Po uplynutí této lhůty by měly být faktury bezpečně smazány nebo anonymizovány podle pravidel GDPR.

▸ Jak chránit faktury zasílané e-mailem?

Ideálně používejte šifrované e-maily nebo zabezpečené klientské portály. Nikdy neposílejte faktury s osobními údaji jako nechráněné přílohy běžného e-mailu.

▸ Stačí mít GDPR řešené pouze v účetnictví, nebo musím nastavit pravidla i ve fakturaci?

Pravidla GDPR je třeba nastavit nejen v účetnictví, ale i v celém procesu fakturace – tedy od vystavení faktury až po její archivaci a případné smazání.

▸ Co hrozí malé firmě za porušení GDPR při fakturaci?

Pokuty mohou dosáhnout až 20 milionů eur nebo 4 % ročního obratu, ale v praxi jsou u malých firem zpravidla nižší. Důležité je být schopen prokázat, že firma přijala odpovídající opatření na ochranu osobních údajů.