GDPR a ochrana osobných údajov pri fakturácii

• GDPR — Nariadenie (EÚ) 2016/679 — priamo uplatniteľné, hlavný predpis pre väčšinu komerčného spracúvania v SaaS.
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov — národná úprava, dopĺňa procesné medzery.

• Fakturačné a zákaznícke údaje → plnenie zmluvy (čl. 6 ods. 1 písm. b) a zákonná povinnosť (čl. 6 ods. 1 písm. c — fakturácia, účtovníctvo, daňová archivácia).
• Marketing potrebuje samostatný súhlas alebo oprávnený záujem.

Zásada minimalizácie sa zlaďuje so zákonnou archiváciou: osobné údaje na faktúrach uchovávaj počas zákonnej lehoty (5 / 10 rokov) a potom ich vymaž alebo anonymizuj. Mazanie navrhuj okolo 10-ročného stropu pre platiteľov DPH.

• Poskytovateľ fakturačného SaaS je voči údajom svojich zákazníkov spravidla sprostredkovateľ (processor) → musí mať sprostredkovateľskú zmluvu podľa čl. 28. Úrad zverejňuje vzorové doložky.
• Záznamy o spracovateľských činnostiach (čl. 30): prevádzkovateľ vedie vlastné, sprostredkovateľ samostatné záznamy za každého prevádzkovateľa.

• Úradu: bez zbytočného odkladu, do 72 hodín od zistenia (čl. 33).
• Dotknutým osobám: pri vysokom riziku bez zbytočného odkladu (čl. 34).
• Ako sprostredkovateľ SaaS oznamuje porušenie svojmu prevádzkovateľovi bez zbytočného odkladu; 72-hodinová lehota voči Úradu je povinnosťou prevádzkovateľa.

Čisto obchodné údaje (obchodné meno, IČO, miesto podnikania) zvyčajne nie sú osobné údaje. Ak však obchodné meno odhaľuje meno a priezvisko fyzickej osoby, alebo je miestom podnikania jej bydlisko (u živnostníkov veľmi časté), GDPR sa uplatní. V praxi: vo fakturačnom SaaS zaobchádzaj s údajmi SZČO ako s osobnými údajmi.

Dozorný orgán: Úrad na ochranu osobných údajov SR (dataprotection.gov.sk).