GDPR a fakturace: Jaké osobní údaje zpracováváte a co s nimi?

2025-10-06 Fakturuj.si
gdpr osobni-udaje fakturace

GDPR a OSVČ: Netýká se to přece jen velkých firem?

Omyl. Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) se vztahuje na každého, kdo zpracovává osobní údaje fyzických osob — tedy i na podnikatele, který má pět zákazníků a vystavuje faktury z domácí kanceláře. Faktura jménem a adresou fyzické osoby je osobní údaj. A vy jste jeho správce.

Dobrá zpráva: pro malé OSVČ, jejichž zpracování není rozsáhlé ani systematické, jsou povinnosti zvládnutelné. Špatná zpráva: ignorovat je nelze — pokuty od Úřadu pro ochranu osobních údajů (ÚOOÚ) mohou dosáhnout až 20 milionů EUR nebo 4 % ročního obratu.

Co je na faktuře osobní údaj?

Osobním údajem je podle čl. 4 GDPR jakákoliv informace, která se vztahuje k identifikované nebo identifikovatelné fyzické osobě. Na faktuře to mohou být:

  • Jméno a příjmení odběratele (fyzické osoby — nepodnikatele nebo OSVČ).
  • Adresa bydliště nebo sídla podnikání.
  • E-mailová adresa a telefonní číslo.
  • IČO fyzické osoby (OSVČ).
  • Bankovní údaje (číslo účtu).

Pozor: údaje o právnické osobě (s.r.o., a.s.) osobními údaji samy o sobě nejsou, ale jméno jednatele nebo kontaktní osoby na faktuře osobním údajem je.

Právní základ zpracování

Aby bylo zpracování osobních údajů zákonné, musí mít oporu v některém z právních základů podle čl. 6 GDPR. Pro fakturaci připadají v úvahu zejména dva:

  • Plnění smlouvy (čl. 6 odst. 1 písm. b) — faktura je přímým důsledkem uzavřeného smluvního vztahu. Zpracování jméno + adresa za účelem vystavení faktury zákazníkovi, se kterým máte smlouvu nebo objednávku, nevyžaduje souhlas.
  • Splnění právní povinnosti (čl. 6 odst. 1 písm. c) — zákon č. 563/1991 Sb. (zákon o účetnictví) a zákon č. 235/2004 Sb. (zákon o DPH) ukládají povinnost faktury uchovávat. Tato povinnost je samostatným zákonným základem pro archivaci.

Souhlas zákazníka pro samotnou fakturaci tedy nepotřebujete. Potřebujete ho naopak tehdy, pokud chcete e-mailovou adresu z faktury použít pro zasílání marketingových sdělení.

Jak dlouho faktury uchovávat?

Zde se prolíná GDPR s daňovým a účetním právem:

  • Zákon o DPH (§ 35) — daňové doklady se uchovávají 10 let od konce zdaňovacího období, ve kterém se plnění uskutečnilo.
  • Zákon o účetnictví (§ 31) — účetní doklady (faktury jsou součástí) se uchovávají rovněž 10 let po skončení účetního období.
  • GDPR — osobní údaje lze uchovávat jen po dobu nezbytně nutnou pro daný účel. Pokud zákon ukládá 10letou archivaci, jde o zákonnou povinnost a GDPR ji nezpochybňuje.

Po uplynutí zákonné lhůty je třeba faktury (v papírové i elektronické podobě) bezpečně skartovat nebo smazat.

Informační povinnost vůči zákazníkům

Jako správce osobních údajů máte povinnost zákazníky informovat o tom, jak s jejich údaji nakládáte (čl. 13 GDPR). Stačí stručné Zásady ochrany osobních údajů — dokument dostupný na vašem webu nebo zaslaný e-mailem. Musí obsahovat:

  • Kdo jste (totožnost správce).
  • Za jakým účelem a na jakém právním základě údaje zpracováváte.
  • Jak dlouho údaje uchováváte.
  • Jaká práva má subjekt údajů (přístup, oprava, výmaz, přenositelnost).
  • Kontakt na ÚOOÚ pro případ stížnosti.

Není nutné mít pětistránkový dokument plný právního žargonu. Srozumitelný, upřímný text na jedné straně A4 splní požadavky GDPR stejně dobře.

Zpracovatelská smlouva s účetní nebo daňovým poradcem

Pokud předáváte faktury (a tedy i osobní údaje zákazníků) externímu zpracovateli — typicky účetní, daňovému poradci nebo mzdové účetní — jste povinni s ním uzavřít smlouvu o zpracování osobních údajů (čl. 28 GDPR).

Smlouva musí stanovit:

  • Předmět a dobu trvání zpracování.
  • Povahu a účel zpracování.
  • Typ osobních údajů a kategorie subjektů.
  • Povinnosti a práva správce.

Mnozí účetní mají vzor smlouvy připravený. Pokud ne, šablonu najdete na webu ÚOOÚ (uoou.cz). Smlouvu uzavřete písemně — e-mailová dohoda nestačí.

Cloudové fakturační nástroje a GDPR

Používáte-li online fakturační software, stává se jeho provozovatel vaším zpracovatelem osobních údajů. Proto by měl každý seriózní nástroj poskytovat zpracovatelskou smlouvu automaticky při registraci nebo na vyžádání.

Fakturuj.si zpracovatelskou smlouvu poskytuje a data ukládá na serverech v EU — takže přeshraniční přenos do třetích zemí, který GDPR reguluje, nevzniká. Pro malé OSVČ a firmy je to pohodlné a bezpečné řešení za 50 Kč/měsíc.

Co vás nečeká jako malou OSVČ

Abyste měli klid: malá OSVČ bez systematického rozsáhlého zpracování zpravidla nemusí:

  • Jmenovat pověřence pro ochranu osobních údajů (DPO).
  • Vést záznamy o činnostech zpracování (povinnost vzniká až při 250+ zaměstnancích nebo systematickém zpracování citlivých údajů).
  • Provádět posouzení vlivu na ochranu osobních údajů (DPIA).

Shrnutí pro praxi

  1. Identifikujte, jaké osobní údaje na fakturách máte a proč.
  2. Právní základ pro fakturaci — plnění smlouvy nebo zákonná povinnost — máte automaticky.
  3. Faktury archivujte 10 let, pak bezpečně zlikvidujte.
  4. Zveřejněte stručné zásady ochrany osobních údajů.
  5. Uzavřete zpracovatelskou smlouvu s účetní a se svým fakturačním softwarem.

GDPR nemusí být strašákem. Pár hodin věnovaných nastavení pravidel vás ochrání před zbytečnými problémy. A faktury samotné svěřte nástroji, který je bezpečný a GDPR-ready — vyzkoušejte Fakturuj.si zdarma.

Vyskúšajte Fakturuj.si zadarmo

Profesionálna fakturácia za 2€ mesačne. Bez viazanosti.

Začněte hned teď

Súvisiace články

fakturace navod

Jak správně vystavit fakturu: Kompletní průvodce pro OSVČ a firmy

2026-03-18
smlouva fakturace

Smlouva o dílo vs objednávka: Co je lepší základ pro fakturaci

2026-03-14
fakturace zahranici

Fakturace služeb zahraničním klientům: DPH pravidla

2026-03-10
Späť na blog