Fakturační robot myslí na ochranu vašich osobních údajů

Od začátku budování Fakturoidu jsme věděli, že vkládat svoje faktury do webové aplikace bude vyžadovat, aby nám naši klienti věřili, že jejich data ochráníme. Proto aplikace běží na spolehlivém virtuálním serveru v Anglii, proto je SSL šifrování aktivní pro všechny tarify, proto se pravidelně provádí zálohy a v neposlední řadě se zavazujeme k tomu, že svěřené údaje neposkytneme žádné třetí straně.

Mysleli jsme i na Úřad pro ochranu osobních údajů (ÚOOÚ), ale po pár hodinách průzkumu webu, jsme došli k názoru, že nejspíš nejsme povinni se u něj registrovat a zařadili jsme podrobnější zkoumání této problematiky do období krátce po spuštění. Jako dobré připomenutí, posloužila diskuze pod naším rozhovorem na blogu Jana Řezáče.

Na ÚOOÚ jsme napsali dopis

Dobrý den,

jakožto provozovatel online webové aplikace, pro evidenci a tisk faktur bych se rád ujistil, že nepodléhám povinnosti registrovat se na Vašem úřadě.

Naši zákazníci se přes web mohou online zaregistrovat, tím jim je vytvořen zákaznický účet a pak se přihlásit a pracovat.

• V registraci nám sdělí jejich jméno, IČ, DIČ, fakturační adresu, email.
• V aplikaci pak zakládají kontakty a vystavují pro ně faktury.
• Každý zákazník má po přihlášení přístup pouze ke svému účtu a svým fakturách.
• Zákazník má možnost kdykoliv přímo z aplikace účet zrušit a smazat okamžitě všechna data, která byla do aplikace vložena.
• Já jako provozovatel (a nejnutnější spolupracovníci) mám přístup k datům všech našich zákazníků.

Data jsou uložena na serverech pod naší správou a v našich smluvních podmínkách se je zavazujeme nepředávat třetím stranám.

Domnívám se, že z pohledu zákona jsem zpracovatel dat a tedy se na mne registrační povinnost nevztahuje, je to tak?

Předem moc děkuji za odpověď

Lukáš Konarovský

Odpověď ÚOOÚ

Z celého originální dopisu z ÚOOÚ (PDF, přišel ve formátu DOC) ocitujeme podstatnou část:

Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, podle ustanovení § 1 chrání fyzickou osobu před neoprávněným zasahováním do soukromí. Právnickou nebo fyzickou osobu podnikající podle zvláštních předpisů, za níž se považuje i OSVČ, zákon č. 101/2000 Sb. chrání při zpracování osobních údajů, týkajících se soukromého života, nechrání však údaje týkající se podnikatelských aktivit podle zvláštních zákonů, především zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon) a dalších obecně závazných právních předpisů. Proto se na Vás nevztahuje ani oznamovací povinnost podle zákona č. 101/2000 Sb.

V daném případě je Vaší povinnosti chránit údaje Vašich zákazníků podle jiného zvláštního zákona, ke kterému není Úřad pro ochranu osobních údajů ve smyslu zákona č. 101/2000 Sb. kompetentní podávat obecně závazný právní výklad.

Jinými slovy řečeno, ÚOOÚ má na starosti něco úplně jiného a naše případná registrace u něj by byla k ničemu. Nechceme se snažit vyvolávat důvěru „štemply”, které nemají žádný význam.

Teď nás bude zajímat, co pro nás plyne ze zmiňovaného zákona o živnostenském podnikání. O výsledku opět napíšeme.