Fakturace je proces vystavování a evidence faktur, tedy dokladů o prodeji zboží nebo služeb. Pro plátce daně z přidané hodnoty je faktura zároveň daňovým dokladem, jehož povinné náležitosti stanoví zákon č. 235/2004 Sb., o dani z přidané hodnoty [1]. Faktura proto není jen výzva k zaplacení, ale i podklad pro účetnictví a pro odvod či odpočet DPH. Fakturace může probíhat na papíře nebo elektronicky a v České republice se pro strukturovanou elektronickou fakturu používá národní standard ISDOC, který spravuje ICT Unie a vychází z mezinárodního jazyka UBL 2.0 [2]. V rostoucí firmě fakturace nestojí sama o sobě. Propojuje se se sklady, zakázkami a účetnictvím v ERP systému, na českém trhu typicky v Heliosu od společnosti Asseco Solutions ve variantách Helios iNuvio a Helios Nephrite. Správně nastavená fakturace šetří čas a snižuje riziko chyb i pokut.
Zajímavost ze světa
GDPR je nařízení, ne směrnice. Díky tomu platí ve všech členských státech Evropské unie přímo a stejně, aniž by ho každý stát musel zvlášť převádět do vlastního zákona.[1]
Co v článku najdete
- Co je GDPR a koho se týká
- Co jsou osobní údaje podle GDPR
- Na jakých zásadách GDPR stojí
- Jaká práva mají lidé podle GDPR
- Jaké povinnosti GDPR ukládá firmám
- Jak GDPR souvisí s ERP a podnikovými systémy
- Jak GDPR řeší docházku a údaje zaměstnanců
- Jak se na GDPR ve firemních systémech připravit
Co je GDPR a koho se týká
GDPR je obecné nařízení Evropské unie o ochraně osobních údajů vedené jako Nařízení EU 2016/679 [1]. Sjednocuje pravidla pro nakládání s osobními údaji napříč členskými státy a posiluje práva lidí, kterých se údaje týkají.
Na rozdíl od směrnice je nařízení přímo závazné. Platí ve všech státech Unie stejně a firmy se jím řídí bez národní transpozice [1]. V Česku ho doplňuje zákon č. 110/2019 Sb., o zpracování osobních údajů, který upravuje vybrané národní podrobnosti [2].
GDPR se týká prakticky každé firmy, která zpracovává osobní údaje, tedy údaje o konkrétních lidech. Patří sem údaje o zákaznících, dodavatelích i zaměstnancích. Velikost firmy přitom nehraje rozhodující roli [1].
Co jsou osobní údaje podle GDPR
Osobní údaj je jakákoli informace o identifikované nebo identifikovatelné fyzické osobě [1]. Nejde jen o jméno a adresu, ale o širokou škálu údajů, podle kterých lze člověka rozpoznat.
| Druh údaje | Příklady |
|---|---|
| Základní identifikace | Jméno, adresa, datum narození |
| Kontaktní údaje | Telefon, e-mail |
| Online identifikátory | IP adresa, cookies v určitých případech |
| Zvláštní kategorie | Zdraví, biometrie, příslušnost k odborům |
Zdroj: Nařízení EU 2016/679 (GDPR).
Zvláštní kategorie údajů, jako jsou údaje o zdraví, požívají přísnější ochrany a smí se zpracovávat jen za úzce vymezených podmínek [1]. Pro firmu to znamená obezřetnost zejména u personální agendy.
Na jakých zásadách GDPR stojí
GDPR staví na několika základních zásadách, které musí firma při zpracování dodržovat [1]. Tyto zásady určují, jak smí s údaji nakládat od jejich získání po výmaz.
- Zákonnost, korektnost a transparentnost zpracování
- Účelové omezení, údaje sbírat jen pro stanovený účel
- Minimalizace, zpracovávat jen nezbytné údaje
- Přesnost a aktuálnost údajů
- Omezené uložení a zabezpečení údajů
| Zásada | Co od firmy vyžaduje |
|---|---|
| Zákonnost a transparentnost | Zpracovávat férově a srozumitelně informovat |
| Účelové omezení | Sbírat údaje jen pro stanovený účel |
| Minimalizace | Vést jen nezbytné údaje |
| Omezené uložení | Nedržet údaje déle, než je potřeba |
| Zabezpečení | Chránit údaje přiměřenými opatřeními |
Zdroj: Nařízení EU 2016/679 (GDPR).
Zásada zabezpečení znamená, že firma musí údaje chránit přiměřenými technickými a organizačními opatřeními [1]. V tomto bodě se GDPR potkává s logikou normy pro řízení bezpečnosti informací, podle které se rizika identifikují a snižují [3].
Jaká práva mají lidé podle GDPR
GDPR posiluje práva lidí, jejichž údaje se zpracovávají, tedy subjektů údajů. Firma musí umět tato práva v stanovených lhůtách vyřídit [1].
| Právo | Co znamená |
|---|---|
| Přístup | Zjistit, jaké údaje o něm firma vede |
| Oprava | Nechat opravit nepřesné údaje |
| Výmaz | Nechat údaje smazat, pokud není důvod je vést |
| Omezení a námitka | Omezit zpracování nebo proti němu vznést námitku |
| Přenositelnost | Získat své údaje a předat je jinam |
Zdroj: Nařízení EU 2016/679 (GDPR).
Aby firma žádost vyřídila, musí vědět, kde všude daného člověka eviduje. Roztříštěná data v mnoha tabulkách vyřízení komplikují, jednotná evidence v podnikovém systému ho naopak usnadňuje [1].
Jaké povinnosti GDPR ukládá firmám
Firma jako správce údajů musí prokázat, že údaje zpracovává v souladu s nařízením [1]. To zahrnuje doložitelný právní důvod zpracování, vedení záznamů a zabezpečení dat.
- Mít právní důvod pro každé zpracování
- Informovat lidi o tom, jak s jejich údaji nakládá
- Vést záznamy o činnostech zpracování
- Zabezpečit údaje proti úniku a zneužití
- V určitých případech jmenovat pověřence pro ochranu údajů
| Povinnost firmy | Co zahrnuje |
|---|---|
| Právní důvod | Doložitelný základ pro každé zpracování |
| Informování | Sdělit lidem, jak s údaji firma nakládá |
| Záznamy o zpracování | Evidence činností nakládání s údaji |
| Zabezpečení | Ochrana údajů proti úniku a zneužití |
| Hlášení úniku | Oznámení porušení za stanovených podmínek |
Zdroj: Nařízení EU 2016/679 (GDPR).
Při úniku osobních údajů má firma povinnost porušení za stanovených podmínek ohlásit dozorovému úřadu, a pokud hrozí vysoké riziko, i dotčeným lidem [1]. Detaily a lhůty vždy ověřujte s odborníkem, toto heslo je nenahrazuje.
Jak GDPR souvisí s ERP a podnikovými systémy
Osobní údaje firma typicky vede právě v podnikových systémech. V ERP jsou to údaje o zákaznících a dodavatelích, ve mzdové a personální agendě údaje o zaměstnancích. GDPR se proto promítte přímo do toho, jak je systém nastaven [1]. Heslo o systému shrnuje ERP systém.
Klíčové je řízení přístupů, aby k údajům viděl jen ten, kdo je potřebuje, a dohledatelnost, tedy záznam o tom, kdo s údaji pracoval [1]. Tyto vlastnosti podporuje i mzdový a personální modul, kterému se věnuje personalistika Helios Manta.
Jak GDPR řeší docházku a údaje zaměstnanců
Docházkové a personální systémy zpracovávají údaje o zaměstnancích, které spadají pod GDPR [1]. Firma musí mít právní důvod, údaje zabezpečit a vést jen ty, které skutečně potřebuje.
Zvlášť obezřetná musí být firma u citlivějších údajů a u technologií, jako je biometrické ověření. Ty patří mezi zvláštní kategorie a vyžadují přísnější podmínky [1]. Posouzení konkrétního nastavení docházky je odbornou otázkou a toto heslo ho nenahrazuje.
Jak se na GDPR ve firemních systémech připravit
- Zmapujte, jaké osobní údaje a kde firma vede
- Ke každému zpracování přiřaďte právní důvod a účel
- Nastavte přístupová oprávnění podle rolí
- Zaveďte dohledatelnost přístupů a změn v datech
- Připravte postup pro žádosti lidí a pro hlášení úniku
Praktickou oporou je vést osobní údaje v jednom systému s řízením přístupů a evidencí změn. Jednotná evidence usnadňuje vyřízení žádostí i doložení zabezpečení podle logiky normy pro bezpečnost informací [3]. Toto heslo nenahrazuje právní poradenství, konkrétní soulad vždy posuzujte s odborníkem na ochranu osobních údajů [2].
Jak vám NVSP pomůže s ochranou osobních údajů
Soulad s GDPR začíná u přehledu o tom, kde firma osobní údaje vede a kdo k nim má přístup. ERP Helios od NVSP drží údaje o zákaznících i zaměstnancích v jednom systému s řízením oprávnění a dohledatelností změn, což usnadňuje vyřízení žádostí i doložení zabezpečení. Prohlédněte si nabídku produktů NVSP and proberte, jak nastavit systém s ohledem na ochranu osobních údajů. Posouzení samotného souladu s GDPR vždy patří odborníkovi.
Shrnutí
GDPR je obecné nařízení Evropské unie o ochraně osobních údajů vedené jako Nařízení EU 2016/679. Jako nařízení platí přímo ve všech členských státech, v Česku ho doplňuje zákon č. 110/2019 Sb. Stanoví zásady zpracování, práva lidí a povinnosti firem, které s údaji nakládají. Týká se prakticky každé firmy, která vede údaje o zákaznících nebo zaměstnancích. Promítá se do nastavení ERP a docházkových systémů, kde je klíčové řízení přístupů a dohledatelnost. Heslo není právní poradenství.
Časté otázky
Je GDPR směrnice nebo nařízení
GDPR je nařízení, vedené jako Nařízení EU 2016/679. Proto platí ve všech státech Unie přímo, bez národní transpozice. V Česku ho doplňuje zákon č. 110/2019 Sb. [1] [2].
Co jsou osobní údaje
Jakákoli informace o identifikované nebo identifikovatelné fyzické osobě, od jména a adresy po online identifikátory. Přísnější ochranu mají zvláštní kategorie, například údaje o zdraví [1].
Jak GDPR souvisí s ERP a docházkou
ERP a docházkové systémy zpracovávají osobní údaje o zákaznících a zaměstnancích. GDPR proto vyžaduje řízení přístupů, dohledatelnost a zabezpečení těchto dat [1].
Použité zdroje a literatura
Legislativa EU
[1] Nařízení EU 2016/679 (GDPR). Obecné nařízení o ochraně osobních údajů.
Legislativa ČR
[2] Zákon č. 110/2019 Sb., o zpracování osobních údajů (ze dne 12. března 2019, adaptační zákon ke GDPR).
Normy a standardy
[3] ISO/IEC 27001:2022 (česká verze ČSN EN ISO/IEC 27001:2023). Systémy řízení bezpečnosti informací.