25. května 2018 začne platit GDPR a vy možná ještě nemáte jasno v tom, na co se zaměřit a jak GDPR řešit. Přečtěte si, jaké jsou nejdůležitější oblasti GDPR, a s čím vám pomůže iDoklad.
GDPR se týká všech – obchodníků, klientů, zaměstnavatelů a dalších. Každý má svoji roli:
- Správce údajů shromažďuje data a musí je chránit. Z pohledu iDokladu je správcem například živnostník, který fakturuje v iDokladu.
- Zpracovatel je pověřený správcem data zpracovávat či ukládat.
- Subjekt údajů poskytuje své údaje a má vůči správci práva – třeba na výmaz nebo opravu. Typicky je to zákazník uživatele iDokladu, v našem případě také každý uživatel iDokladu.
Pozor, iDoklad na všechno nestačí
Při přechodu na GDPR postupujte ve 2 krocích:
- Nejprve si ujasněte, co všechno pro vás GDPR znamená. Vyplatí se to prokonzultovat s právníkem nebo si nechat vypracovat posudek. Pomůže vám i Základní příručka Úřadu pro ochranu osobních údajů. Pak si můžete stanovit svá interní pravidla, jak naplňovat GDPR.
- Ke splnění GDPR použijte svůj iDoklad – ukážeme vám funkce, které vám od května pomohou. A všechny jsou zadarmo.
Administrace a práce v iDokladu
Ochraňte svá data
Jako první vás možná napadne, jestli jsou vaše data bezpečně uložená. V iDokladu používáme Microsoft Azure – superbezpečný cloudový systém. Tohle jsou jeho hlavní výhody:
- Vaše data jsou uložená ve velmi dobře zabezpečených datových centrech.
- Bez oprávnění není šance se k datům dostat.
- Datová centra spravuje Microsoft, který deklaruje soulad s GDPR – takže máte vystaráno.
- Díky uložení dat na Microsoft Azure se sníží vaše náklady na zabezpečení dat kvůli GDPR a na mapování stávajícího stavu. Microsoft Azure a jeho certifikáty totiž automaticky zajišťují kompatibilitu s GDPR a to vám ušetří mnoho času i prostředků.
- Všechny údaje z aplikace iDoklad ukládá Microsoft na své servery v Irsku – takže vaše data nikdy neopustí Evropskou unii.
- Microsoft dodržuje normu ISO /IEC 27018 při zabezpečení osobních údajů v cloudových úložištích.
Jedním z vašich úkolů při vylepšování bezpečnosti je prověření všech účtů – pokud má váš iDoklad více uživatelů.
Aby nebylo příliš jednoduché heslo kamenem úrazu v jinak bezpečném systému, určíme minimální požadavky na sílu hesla. Díky tomu si uživatelé nemohou zadat extrémně snadné heslo, které by šikovný hacker prolomil už za pár minut.
V iDokladu citlivé údaje neřešíte
Datum narození nebo číslo občanky člověk nevykládá na potkání. A stejně opatrně zacházejte s údaji také v iDokladu. GDPR stanovuje 2 speciální kategorie údajů:
- běžné osobní údaje (třeba adresa, věk, pohlaví, fotka)
- a osobní údaje zvláštních kategorií (zkráceně citlivé údaje, například zdravotní stav, informace o členství v odborech, náboženské vyznání).
Ve svém iDokladu narazíte jen na první kategorii. Jenže tyto „běžné” osobní údaje podle GDPR taky spadají do zvláštního režimu zacházení. Proto jsme pro vás připravili návod, jak s nimi správně zacházet.
Méně je někdy více. Základním pravidlem je evidovat jen nezbytné minimum údajů a navíc pouze ty, které vám zákazníci sami sdělí nebo jsou dostupné ve veřejných rejstřících.
K takovým údajům patří například jméno a příjmení, adresa, e-mail a telefonní číslo, IČ a další.
Nezapomeňte, že údaje můžete využít jen pro účely, ke kterým vám je zákazníci poskytli.
Práva subjektů údajů
Z pohledu iDokladu existují dva typy subjektů údajů:
- Jste jím vy jako uživatel iDokladu. Správcem je v tomto případě Solitea Česká republika a zpracovatelem Microsoft. S uplatněním vašich práv vám pomohou na Zákaznické centru Solitey.
- Je jím váš zákazník. Vy jste potom správcem osobních údajů a zpracovateli jsou Solitea Česká republika a Microsoft.
Každý subjekt údajů může uplatňovat svá základní práva.
1) Právo na přístup k osobním údajům
Pokud jako správce údajů dostanete od subjektu údajů informace, musíte mu na základě jeho žádosti dát vědět třeba to, že jeho data zpracováváte, za jakým účelem je získáváte a kdo s nimi bude dále pracovat.
Pomůže vám s tím Adresní karta se souhrnem informací, které evidujete o subjektu údajů.
2) Právo na opravu
Pokud se zákazník domnívá, že o něm zpracováváte nepřesné údaje, může vás na to upozornit. Pak se musíte jeho žádosti věnovat a data v iDokladu opravit.
3) Právo na výmaz (známé také jako právo být zapomenut)
Právo na výmaz znamená, že váš zákazník může žádat smazání osobních údajů ze systému:
- po uplynutí zákonných či smluvních lhůt a pominutí účelu zpracování
- nebo při odvolání souhlasu ke zpracování osobních údajů.
V iDokladu pak data vymažete pomocí nové funkce – anonymizace:
- Funkce vám nejprve nabídne seznam všech subjektů ve vašem iDokladu.
- Vyberte konkrétní subjekt a zobrazte si seznam jeho dokladů.
- Všechny osobní údaje subjektu (v adresáři i na dokladech) můžete anonymizovat.
Ještě před anonymizací ale promyslete, jestli na ni má váš zákazník právo. Ve váš prospěch totiž mluví zákonné lhůty, které stanovují, jak dlouho musíte doklady archivovat. Nezapomeňte, že je anonymizace nevratná!

V iDokladu si snadno a rychle najdete všechny doklady subjektu údajů, který si přeje uplatnit své právo na výmaz.
4) Právo na přenositelnost údajů
GDPR přesně nestanovuje formát pro přenositelné údaje. V iDokladu můžete použít sestavu Karta zákazníka, uložit ji ve formátu XLS a poslat klientovi například e-mailem.
5) Právo na omezení zpracování
Subjekt údajů může požádat o omezení zpracování osobních údajů. V tom případě musíte jeho žádost řešit ve svém iDokladu individuálně, zpravidla ručně.
Tohle by vám nemělo ujít
Kromě nových funkcí si přečtěte také náš druhý článek o tom, jak chráníme a zpracováváme údaje váš, uživatelů iDokladu. Další podrobnosti najdete v našich Zásadách ochrany osobních údajů, Cookie Policy a v Podmínkách použití aplikace.
Napadá vás už teď něco dalšího, co byste v souvislosti s GDPR v iDokladu přivítali? Napište nám. Další funkce budeme přidávat na základě vašich nápadů.
Ano napadá.
CustomizovatelnéFormuláře, které bude možné hromadně odeslat zákazníkům a identifikace ze pro daného zákazníka mám aktuální a platný souhlas se zpracováním osobnich údajů. Report pro účely “interního auditu” ve formátu který bude akceptovat ředitelství zeměkoule
Dobrý den,
děkujeme za Vaši zpětnou vazbu.
Přejeme pěkný den
Vaše implementace GDPR je naprosto k ničemu. „Ještě před anonymizací ale promyslete, jestli na ni má váš zákazník právo. Ve váš prospěch totiž mluví zákonné lhůty, které stanovují, jak dlouho musíte doklady archivovat. „. Toto má řešit aplikace, protože zákazník může odvolat souhlas kdykoliv, ovšem já faktury mohu smazat az za
5 resp 10let, to znamená u vás, že mi zákazník odvolá souhlas se zpracováváním, já si to uložím do kalendáře s připomenutím za 10let, pak zákazníka dohledám a smažu, ale to mohu udělat i bez téhle vaši „fičury“ ovšem nejdříve se musím kouknout zda zákazník něco nenakoupil, jelikož se zas počítá 10let od poslední faktury, kterou nemohu skartovat. Chtělo by to, abych dal anonymizaci a idoklad si to celé ohládal, já jen napíšu zakazníkovi skartováno bude za xy měsíců pokud nic dalšího neobjednáte
Dobrý den,
díky za Vaši zpětnou vazbu, obecně jde o to, že anonymizace údajů vyplývá z požadavků GDPR a týká se pouze anonymizování údajů například o odběrateli na faktuře. Nicméně v případě anonymizace nedojde k vymazání faktury. Faktura, její výše, výše DPH a další náležitosti jsou nadále na faktuře, která je uložena v iDokladu uvedeny.
Není tím pádem porušena povinnost uchovávat účetní doklady, která vyplývá z účetních standardů.
Přejeme pěkný den
Dobrý den,
existuje „papírový“ formulář – smlouva, kde jsou tyto údaje přehledně shrnuty s možností podpisu obou smluvních stran? Z více zdrojů jsem slyšela, že v EU uznávají jen papírové smlouvy. Každopádně jistota je jistota..
Děkuji za odpověď.
Dobrý den,
zpracovatelskou smlouvu jsme implementovali do Podmínek použití a Zásady ochrany osobních údajů, které naleznete zde https://www.idoklad.cz/zasady-ochrany-osobnich-udaju
Z Vaší strany není již nutné dokládat souhlas například písemně, používáním aplikace iDoklad s těmito podmínkami souhlasíte. Tím pádem je Zpracovatelská smlouva oboustranně uzavřena.
Problematiku GDPR jsme samozřejmě konzultovali se spolupracující právní kanceláří, která se na problematiku GDPR specializuje a tato forma uzavření zpracovatelské smlouvy je dostačující a je v souladu s daným nařízením.
Přejeme pěkný den
Dobrý den,
importuji data z iDokladu do Pohody. Pohoda pro GDPR umožňuje částečné nebo úplné zabezpečení databáze proti přístupu externích programů, takže nelze importovat data z iDokladu do Pohody.
Existuje nějaké řešení
Rudolf
Dobrý den,
v tomto případě bude vhodné využívat pouze částečné zamčení databáze pro přístup externích aplikací. Alternativně pokud spustíte import pomocí utility pro import do systému Pohoda, tak v této utilitě v sekci Soubor – Složka s daty a zde složka InputTemp se nachází faktury ve formátu XML, které lze případně ručně naimportovat.
Přejeme pěkný den