Období ročního zúčtování daně znamená pro zaměstnavatele, HR i mzdové účetní nápor administrativy a zároveň práci s mimořádně citlivými osobními údaji. V podkladech se běžně objevují informace o hypotékách a úrocích, soukromých finančních produktech či dalších nezdanitelných položkách. Zpracování přitom musí probíhat způsobem, který zajistí integritu a důvěrnost údajů.
Každý rok se kolem poloviny února rozbíhá pro HR a mzdové účtárny období, které prověří nejen organizaci práce, ale i zabezpečení dat. Zaměstnanci mohou o roční zúčtování požádat nejpozději do 15. února po uplynutí zdaňovacího období a plátce daně ho bez včas doložených dokladů nemá provést. Výsledkem je krátký časový úsek, v němž se do firmy koncentruje velké množství dokumentů a údajů, které často přesahují běžné mzdové informace.
Z hlediska obsahu jde o velmi citlivé informace – nejen identifikační údaje, ale i podrobnosti o rodinné situaci, dárcovství a především o financích. V rámci podkladů k ročnímu zúčtování se typicky dokládají mimo jiné údaje pro uplatnění nezdanitelných částek či slev, včetně informací o výši zaplacených úroků z hypotéky nebo úvěru ze stavebního spoření, případně i informace, zda a v jaké výši si odpočet úroků uplatňuje současně jiná osoba. Pro zaměstnavatele to v praxi znamená, že mzdová účtárna (a někdy i HR, pokud dokumenty sbírá) vidí do soukromí zaměstnanců víc, než si řada lidí uvědomuje.
„Zaměstnavatelé často řeší roční zúčtování hlavně jako termín a administrativu. Ve skutečnosti je to ale i období, kdy ve firmě koluje nejvíc citlivých osobních údajů – a právě proto je potřeba mít jasná pravidla, kdo k čemu přistupuje a jak se doklady předávají,“ říká Anna Kevorkyan, CEO portálu JenPráce.cz.
Vedle termínů proto stojí za pozornost i proces: jednotné místo pro příjem dokladů, minimalizace kopií, omezený okruh osob s přístupem a kontrola, kde se dokumenty ukládají a jak dlouho se uchovávají.
Diskrétnost nestačí: GDPR vyžaduje pokyny, omezení přístupu a zabezpečení procesů
Diskrétnost ve mzdové účtárně není jen nepsané pravidlo – je to právní povinnost, která se v praxi promítá do toho, kdo se k podkladům dostane, jak se předávají a kde se ukládají. Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (GDPR) totiž vyžaduje, aby byly osobní údaje zpracovávány způsobem, který zajistí jejich náležité zabezpečení, tedy ochranu před neoprávněným přístupem nebo zpřístupněním. Současně platí, že každá osoba, která má k osobním údajům přístup, je může zpracovávat pouze na pokyn správce (typicky zaměstnavatele), ledaže jí zpracování ukládá zákon.
Zaměstnavatel proto musí nastavit jasné interní procesy: omezení přístupových práv (jen „need-to-know“), bezpečné sdílení dokladů (ideálně šifrované kanály a řízené složky), evidenci, kdo a kdy s dokumenty pracoval, a pravidla pro ukládání a skartaci. Povinnost přijmout technická a organizační opatření pro zabezpečení a předcházení neoprávněnému přístupu potvrzuje i český zákon o zpracování osobních údajů, včetně požadavku dokumentace přijatých opatření. GDPR navíc míří i na praxi outsourcovaných mezd: pokud se do zpracování zapojuje zpracovatel, musí být smluvně ošetřena důvěrnost osob a povinnost přijmout opatření dle čl. 32 Nařízení.
„U ročního zúčtování se snadno stane, že doklady kolují e-mailem nebo leží vytištěné na stole. Jenže GDPR musí být založeno na řízeném přístupu, prokazatelných pokynech a zabezpečených postupech – a to i uvnitř firmy,“ upozorňuje advokátka Kateřina Poláková z Dostupný advokát.
