Kolik stojí DokladBot?

DokladBot stojí 199 Kč měsíčně. První 7 dní je zdarma na vyzkoušení.

Jak DokladBot funguje?

Stačí napsat výdaj do WhatsAppu nebo poslat fotku účtenky. AI automaticky rozpozná kategorii a částku.

Je DokladBot vhodný pro OSVČ?

Ano, DokladBot je ideální pro OSVČ, freelancery a malé firmy, které potřebují jednoduchou evidenci výdajů.

GDPR для OSVČ 2026: що потрібно виконати

GDPR стосується не лише великих корпорацій. Якщо як OSVČ ви виставляєте рахунки-фактури, ведете базу клієнтів, розсилаєте newsletter або управляєте вебсайтом — ви обробляєте персональні дані, а отже, на вас поширюється GDPR. Добра новина: зобов'язання для підприємців значно простіші, ніж для великих компаній. У цьому посібнику ми пояснимо, що саме потрібно виконати, що можна не робити і як дотримуватися вимог з мінімумом бюрократії.

Що таке GDPR і чому він стосується OSVČ

Загальний регламент про захист даних (GDPR — General Data Protection Regulation) — це Регламент Європейського парламенту та Ради (ЄС) 2016/679, який безпосередньо діє у всіх державах-членах ЄС з 25 травня 2018 року. У Чехії GDPR доповнюється Законом № 110/2019 Зб. про обробку персональних даних. Наглядовий орган — Управління з захисту персональних даних (ÚOOÚ).

Чому GDPR стосується підприємців?

GDPR поширюється на кожного, хто обробляє персональні дані — тобто будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи. Як OSVČ ви обробляєте персональні дані хоча б тому, що:

Виставляєте рахунки-фактури, що містять ім'я, адресу та ІПН/ПДВ-номер клієнтів.
Ведете облік клієнтів — контактні дані, історія замовлень.
Спілкуєтеся електронною поштою — адреса e-mail є персональними даними.
Управляєте вебсайтом — IP-адреси відвідувачів, cookies, контактні форми.
Маєте працівників — розрахунково-платіжна документація містить чутливі персональні дані.
Розсилаєте newsletter — адреси електронної пошти передплатників.

ℹ️

OSVČ = контролер персональних даних

У термінології GDPR як OSVČ ви є контролером персональних даних, оскільки самостійно визначаєте цілі та засоби обробки. Це стосується і випадку, коли ваш бухгалтер обробляє облік — бухгалтер у такому разі є обробником, але відповідальність за захист даних залишається на вас.

Які персональні дані OSVČ зазвичай обробляє

Перш ніж перейти до зобов'язань, важливо усвідомити, з якими даними ви як підприємець працюєте:

📊Типові персональні дані, що обробляються OSVČ

⚠️

ІПН фізичної особи є персональними даними

Увага — ІПН, присвоєний фізичній особі (OSVČ), вважається персональними даними, оскільки безпосередньо ідентифікує конкретну фізичну особу. Це означає, що навіть публічно доступні дані з реєстру підприємців підпадають під GDPR, якщо ви обробляєте їх систематично.

Основні принципи GDPR, яких потрібно дотримуватися

GDPR ґрунтується на шести основних принципах обробки персональних даних (стаття 5 GDPR). Ці принципи діють для кожного контролера незалежно від його розміру:

📋6 принципів обробки персональних даних

Правові підстави: на якій основі можна обробляти дані

Кожна обробка персональних даних повинна мати правову підставу. GDPR визначає їх шість. Для OSVČ найбільш актуальні такі чотири:

1. Виконання договору (ст. 6 п. 1 літ. b) GDPR)

Це найпоширеніша підстава для OSVČ. Якщо ви укладаєте з клієнтом договір (навіть усний або через замовлення в інтернет-магазині), ви можете обробляти дані, необхідні для його виконання — ім'я, адресу доставки, контактні дані для спілкування щодо замовлення.

2. Виконання юридичного зобов'язання (ст. 6 п. 1 літ. c) GDPR)

Багато даних ви обробляєте тому, що це вимагає закон. Наприклад:

Зберігання податкових документів (рахунків-фактур) протягом 10 років — відповідно до законів про ПДВ та бухгалтерський облік.
Розрахунково-платіжна документація для працівників — трудове законодавство, закон про страхові внески.
Облік для ЧССЗ та страхових фондів охорони здоров'я.

3. Законний інтерес (ст. 6 п. 1 літ. f) GDPR)

Ця підстава дозволяє обробку, якщо у вас є законний інтерес, який переважає над інтересами суб'єкта даних. Приклади:

Надсилання комерційних повідомлень існуючим клієнтам (які вже купували у вас).
Захист майна (система відеоспостереження).
Стягнення дебіторської заборгованості.

При використанні законного інтересу необхідно провести балансуючий тест — письмову оцінку того, чи переважає ваш інтерес над правом суб'єкта на приватність.

4. Згода (ст. 6 п. 1 літ. a) GDPR)

Згода потрібна, коли у вас немає іншої правової підстави. Типово:

Розсилання newsletter особам, які ще не купували у вас.
Обробка даних у маркетингових цілях понад межі законного інтересу.
Аналітичні та маркетингові cookies на сайті.

⚠️

Згода має бути вільною та конкретною

Згода на обробку персональних даних повинна бути:

Вільною — не може бути умовою надання послуги.
Конкретною — має стосуватися конкретної мети.
Поінформованою — суб'єкт повинен знати, для чого дає згоду.
Однозначною — вимагає активного відмічення (попередньо відмічена позначка не є дійсною).
Відкличною — суб'єкт повинен мати можливість відкликати згоду так само легко, як він її надав.

Записи про діяльність з обробки

Одним із ключових зобов'язань є ведення записів про діяльність з обробки (стаття 30 GDPR). Це внутрішній документ, який описує, які персональні дані ви обробляєте, для чого, як довго та як їх захищаєте.

Чи повинен OSVČ вести записи?

GDPR містить виняток для організацій з менш ніж 250 працівниками — вони не зобов'язані вести записи, якщо обробка:

є лише випадковою,
не становить ризику для прав і свобод суб'єктів даних,
не включає спеціальних категорій даних (чутливих даних).

⚠️

Виняток майже ніколи не застосовується на практиці

Хоча ви є OSVČ без працівників, виняток на вас, найімовірніше, не поширюється. Щойно ви обробляєте дані клієнтів для виставлення рахунків або ведете базу контактів, це є систематичною, а не випадковою обробкою. Тому ми рекомендуємо вести записи про діяльність з обробки — навіть якщо вони займуть лише одну сторінку.

Що повинні містити записи

📋Обов'язковий зміст запису про діяльність з обробки

🧮

Приклад запису про обробку для типового OSVČ

Мета обробки №1: Виставлення рахунків та ведення податкового обліку

Суб'єкти даних: Клієнти (фізичні особи)
Категорії даних: Ім'я, адреса, ІПН, ПДВ-номер, e-mail
Правова підстава: Виконання договору + виконання юридичного зобов'язання
Одержувачі: Бухгалтер (обробник), податковий орган
Строк зберігання: 10 років з кінця податкового періоду
Безпека: Захищений паролем комп'ютер, резервне копіювання, замикання офісу

Мета обробки №2: Розсилання newsletter

Суб'єкти даних: Передплатники newsletter
Категорії даних: E-mail, ім'я
Правова підстава: Згода / законний інтерес (існуючі клієнти)
Одержувачі: Поштовий інструмент (обробник)
Строк зберігання: До відкликання згоди
Безпека: Шифроване передавання, доступ під паролем

Інформаційний обов'язок: що потрібно повідомляти клієнтам

Як контролер персональних даних ви зобов'язані інформувати суб'єктів даних про те, як обробляєте їхні дані (статті 13 і 14 GDPR). На практиці це означає наявність на вебсайті або в умовах обслуговування інформації про обробку персональних даних (часто це називається «політика конфіденційності» або «privacy policy»).

Що повинна містити інформація

| Реквізит | Приклад | |------------|---------| | Ідентичність контролера | Іван Новак, ІПН: 12345678, адреса, e-mail | | Цілі обробки | Виставлення рахунків, виконання договору, маркетинг | | Правова підстава | Виконання договору, законний інтерес, згода | | Одержувачі даних | Бухгалтер, хостинг-провайдер, поштовий інструмент | | Строк зберігання | Рахунки-фактури 10 років, newsletter — до відкликання згоди | | Права суб'єктів даних | Право на доступ, виправлення, видалення, обмеження, перенесення, заперечення | | Контакт для реалізації прав | E-mail, телефон | | Можливість подати скаргу | Управління з захисту персональних даних (uoou.gov.cz) |

Чи повинен OSVČ мати відповідального за захист даних (DPO)?

У більшості випадків — ні. Відповідальний за захист даних (DPO — Data Protection Officer) обов'язковий лише для:

Органів державної влади та публічних суб'єктів.
Контролерів, основною діяльністю яких є масштабний регулярний і систематичний моніторинг суб'єктів даних.
Контролерів, основною діяльністю яких є масштабна обробка спеціальних категорій даних (медичні дані, біометричні дані, дані про кримінальні правопорушення).

✅

Типовому OSVČ DPO не потрібен

Якщо ви графічний дизайнер, програміст, бухгалтер, ремісник, консультант або власник невеликого інтернет-магазину, відповідальний за захист даних вам не потрібен. Ваша основна діяльність — надання послуг або продаж товарів, а не обробка персональних даних. DPO знадобився б, наприклад, оператору програми лояльності з мільйонами клієнтів або детективному агентству.

Безпека персональних даних на практиці

GDPR вимагає впровадження відповідних технічних та організаційних заходів для захисту персональних даних. «Відповідних» — тобто пропорційних ризикам і характеру даних: від OSVČ не очікується той самий рівень безпеки, що від банку.

Практичний чек-лист безпеки для OSVČ

📋Мінімальна безпека персональних даних для OSVČ

Cookies на вебсайті

Якщо ви управляєте вебсайтом, ви, ймовірно, використовуєте cookies. З 1 січня 2022 року в Чехії діє поправка до закону про електронні комунікації, яка вимагає попередньої активної згоди (opt-in) на cookies, які не є абсолютно необхідними для роботи сайту.

Які cookies вимагають згоди

📊Категорії cookies та необхідність згоди

ℹ️

Банер cookies повинен дозволяти відмову

Банер cookies повинен дозволяти відвідувачеві активно погодитися або відмовитися від необов'язкових cookies. Попередньо відмічені позначки не є дійсною згодою. Відвідувач повинен мати можливість користуватися сайтом навіть без згоди на аналітичні та маркетингові cookies. Кнопка «Відмовитися» має бути так само легко доступна, як і «Прийняти».

Що робити при порушенні безпеки (витоці даних)

Якщо сталося порушення безпеки персональних даних (втрата даних, злом, крадіжка ноутбука з незашифрованим диском), у вас є зобов'язання:

📋Дії при порушенні безпеки

⚠️

72-годинний строк відраховується з моменту виявлення

72-годинний строк для повідомлення ÚOOÚ про порушення безпеки починає відраховуватися з моменту, коли ви дізналися про порушення — а не з моменту, коли воно сталося. Якщо не встигаєте повідомити протягом 72 годин, необхідно вказати причини затримки.

Права суб'єктів даних: як реагувати на запити

Особи, чиї дані ви обробляєте, мають низку прав. Найчастіше ви зустрінетеся з такими:

| Право | Що означає | Ваша реакція | |-------|-----------|-------------| | Право на доступ | Суб'єкт хоче знати, які його дані у вас є | Надаєте копію даних протягом 1 місяця | | Право на виправлення | Суб'єкт хоче виправити неточні дані | Виправляєте без зайвих зволікань | | Право на видалення | Суб'єкт хоче видалити свої дані | Видаляєте, якщо цьому не перешкоджає юридичне зобов'язання (наприклад, архівування рахунків) | | Право на обмеження обробки | Суб'єкт хоче тимчасово зупинити обробку | Позначаєте дані і не обробляєте до вирішення питання | | Право на перенесення даних | Суб'єкт хоче отримати дані у машинозчитуваному форматі | Надаєте дані у загальному форматі (CSV, JSON) | | Право на заперечення | Суб'єкт не погоджується з обробкою на підставі законного інтересу | Переглядаєте законний інтерес або припиняєте обробку |

На запит необхідно відповісти протягом 1 місяця. У складних випадках строк можна продовжити ще на 2 місяці, але про це необхідно повідомити суб'єкта.

Договори на обробку даних

Якщо для обробки персональних даних ви залучаєте третіх осіб (бухгалтер, хостинг-провайдер, поштовий інструмент), ви зобов'язані укласти з ними договір на обробку даних відповідно до статті 28 GDPR.

З ким укладати договір на обробку даних

Бухгалтер/податковий консультант — обробляє дані з рахунків-фактур і розрахункової документації.
Хостинг-провайдер — на його серверах зберігаються дані вашого сайту.
Поштовий інструмент (Mailchimp, Ecomail тощо) — обробляє e-mail адреси передплатників.
Хмарне сховище (Google Drive, OneDrive) — якщо ви зберігаєте там документи з персональними даними.
Програмне забезпечення для розрахунку зарплати / аутсорсингова компанія — обробляє дані працівників.

💡

Великі платформи мають готовий договір

Більшість великих провайдерів послуг (Google, Microsoft, Mailchimp, Shopify тощо) мають договір на обробку даних (Data Processing Agreement/Addendum) підготовленим як частину своїх умов обслуговування. Не потрібно домовлятися про індивідуальний договір — достатньо прийняти їхній DPA, як правило, у налаштуваннях облікового запису. З бухгалтером або невеликою фірмою рекомендуємо укласти окремий договір на обробку даних.

Штрафи за порушення GDPR

GDPR передбачає максимальні штрафи до 20 мільйонів євро або 4% від загального річного обороту. На практиці, однак, ÚOOÚ накладає на чеських OSVČ та малі підприємства значно нижчі штрафи — в діапазоні тисяч або десятків тисяч крон.

✅

ÚOOÚ підходить до OSVČ пропорційно

Чеське Управління з захисту персональних даних задекларувало, що не буде «топити» дрібних підприємців. Штрафи для OSVČ значно нижчі, ніж для великих компаній. Проте штрафів варто уникати — навіть штраф у 10 000 Kč неприємний, і до нього додається зобов'язання усунути порушення.

Часті запитання (FAQ)

Чи потрібно мати на сайті положення про GDPR, навіть якщо сайт не збирає жодних даних?

Якщо ваш сайт не збирає жодних даних (немає контактної форми, cookies або аналітики), теоретично інформаційного зобов'язання у вас немає. На практиці однак майже кожен сайт використовує хоча б базову аналітику або контактну форму, тому політику конфіденційності рекомендуємо мати завжди.

Чи можу я надсилати комерційні листи існуючим клієнтам без їхньої згоди?

Так, чеський закон про деякі послуги інформаційного суспільства (№ 480/2004

Nechcete ztrácet čas s papírováním?

Vyzkoušejte DokladBot - účetnictví přes WhatsApp. První týden zdarma.

Vyzkoušet zdarma Jak to funguje?

Bez instalace

Žádné učení

199 Kč/měsíc