GDPR – shromažďování osobních údajů bez udělení souhlasu k jejich zpracovávání
Generální finanční ředitelství na základě vznesených dotazů ohledně správné aplikace zákona č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů (dále jen „ZDP“) a Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále též „GDPR“) vydalo nedávno toto sdělení.
Na základě článku 6 GDPR bod 1. písm. c) je zpracování osobních údajů v odpovídajícím rozsahu zákonné, je-li nezbytné pro splnění právních povinností, která se na správce vztahuje . Jestliže tedy nějaký právní předpis členského státu nebo EU požaduje, aby plátce daně při výkonu své činnosti zpracovával osobní údaje v zákonem stanoveném rozsahu, je toto zpracovávání osobních údajů plněním právní povinnosti.
Plátce daně (správce osobních údajů) ze závislé činnosti může tedy pro účely zdanění příjmů poplatníka zpracovávat osobní údaje, a to bez souhlasu subjektu údajů (tj. poplatníka), pokud se jedná o rozsah, který je stanoven a vyžadován zákonem. Na všechny další údaje musí dát subjekt souhlas se zpracováním takovýchto údajů.
Plátce daně ale musí jako správce osobních údajů přijmout taková opatření, aby byly získané osobní údaje dostatečně zabezpečeny před případným zneužitím.
