Roční zúčtování daně je každoročně nejen administrativní špička, ale i zátěžový test ochrany osobních údajů. Pro zúčtování za rok 2025 připadl termín na pondělí 16. února 2026. Právě v těchto dnech firmami protéká největší objem citlivých dokladů (hypotéky, úroky, dary, rodinná situace). GDPR ale vyžaduje víc než „diskrétnost“: řízený přístup, jasné pokyny, bezpečné kanály a dohledatelné procesy.
Rychlý přehled
Roční zúčtování daně znamená práci s mimořádně citlivými osobními údaji zaměstnanců (finanční závazky, rodinná situace, odpočty). Zaměstnavatel musí nastavit takové procesy, aby byla zajištěna integrita a důvěrnost dat: sbírat jen nezbytné doklady, omezit přístup na osoby „need-to-know“, používat zabezpečené sdílení a mít pravidla pro ukládání a skartaci. GDPR zároveň požaduje, aby osoby s přístupem zpracovávaly údaje jen na pokyn zaměstnavatele a aby zabezpečení odpovídalo riziku.
Většina zaměstnavatelů vnímá roční zúčtování jako „deadline“ a maraton mzdové účtárny. Jenže z pohledu ochrany soukromí jde o období, kdy se v organizaci soustředí největší množství dokumentů, které běžně na pracovišti nekolují. Zaměstnanci žádají o roční zúčtování (a dokládají nároky na slevy a nezdanitelné částky) typicky do poloviny února. Zákon o daních z příjmů navíc říká, že plátce daně roční zúčtování neprovede, pokud zaměstnanec potřebné doklady nepředloží do zákonné lhůty.
Zaměstnavatelé často řeší roční zúčtování hlavně jako termín a administrativu. Ve skutečnosti je to ale i období, kdy ve firmě koluje nejvíc citlivých osobních údajů – a právě proto je potřeba mít jasná pravidla, kdo k čemu přistupuje a jak se doklady předávají.
Doporučení pro praxi: naplánujte roční zúčtování jako proces. Udělejte jednotné místo příjmu dokladů, stanovte formát (digitál vs. papír), určete odpovědné osoby a počítejte s tím, že v krátkém okně přijde velké množství příloh. Právě objem a časový tlak bývají spouštěčem chyb: nechtěných kopií, zaslání špatnému adresátovi nebo „dočasného“ ukládání na nevhodných místech.
Nejste si jistí, jak správně postupovat v oblasti daní, abyste nešlápli vedle? Pomůžeme vám zorientovat nejen v zákoně, ať už jde o řešení konkrétní daňové situace, přípravu na kontrolu ze strany finančního úřadu či obranu před soudem.
V podkladech pro roční zúčtování se běžně objevují údaje, které jsou pro zaměstnance intimnější než běžná mzdová agenda. Nejde jen o identifikaci a výši příjmů, ale o „mapu soukromí“: rodinný stav, děti a uplatňování daňového zvýhodnění, informace o dárcovství, pojištěních, penzijních produktech – a hlavně o financích a závazcích.
Typickým příkladem jsou doklady k nezdanitelným částkám: např. potvrzení o zaplacených úrocích z hypotéky nebo úvěru ze stavebního spoření (a někdy i informace, zda a v jaké výši odpočet úroků uplatňuje jiná osoba). V praxi to znamená, že mzdová účtárna (a někdy i HR) může vidět do soukromí zaměstnance výrazně víc, než si zaměstnanec uvědomuje.
Právně důležité je nepodlehnout dojmu, že „když to přinesl zaměstnanec, tak si s tím můžeme poradit jakkoli“. GDPR pracuje s principem integrity a důvěrnosti: údaje mají být zpracovávány tak, aby byly chráněny před neoprávněným přístupem, náhodnou ztrátou či zveřejněním. To se netýká jen hackerů – často jde o interní rizika: kolega, který „pomůže“ bez oprávnění, sdílená složka s příliš širokými právy, vytištěné potvrzení na tiskárně, nebo přeposlání e-mailu na soukromou adresu kvůli práci z domova.
Zaměstnanci navíc obvykle předávají doklady v časové tísni. Čím složitější proces, tím větší tlak na „rychlá řešení“. A rychlá řešení jsou přesně to, co v ochraně dat generuje průšvihy. Proto má smysl vnímat roční zúčtování jako „sezónu zvýšeného rizika“ a dopředu tomu přizpůsobit pravidla, přístupová práva i technické nástroje.
Roční zúčtování daně je pro zaměstnance nejjednodušší cesta, jak si nechat přes zaměstnavatele vyřídit daň ze mzdy a získat zpět přeplatek za uplatněné slevy a odpočty. V našem článku vysvětlujeme, kdo o roční zúčtování za rok 2025 může požádat a kdy už musíte podat daňové přiznání.
GDPR není jen o tom, že „mzdová účtárna je diskrétní“. Právo na ochranu osobních údajů se promítá do konkrétních povinností zaměstnavatele jako správce: nastavit procesy tak, aby bylo možné prokázat, že údaje jsou zpracovávány bezpečně a jen v rozsahu, který je potřebný.
Za prvé: kdokoli má k údajům přístup, musí je zpracovávat pouze na pokyn správce (typicky zaměstnavatele), pokud mu zpracování neukládá přímo zákon. V praxi to znamená mít jasně rozdělené role (kdo sbírá, kdo kontroluje, kdo účtuje, kdo archivuje) a nedovolit „ad hoc“ přístupy typu „HR se podívá, jestli to sedí“.
Za druhé: zaměstnavatel má povinnost zavést vhodná technická a organizační opatření podle rizik, mj. i šifrování či jiné mechanismy zabezpečení, a umět obhájit, proč zvolil právě takovou úroveň ochrany. Roční zúčtování je přitom typická situace, kdy je riziko vyšší (koncentrace dokladů, časová tíseň, více lidí v procesu).
Za třetí: držte se minimalizace. Sběr podkladů má být nastaven tak, aby se „nepřibalovaly“ informace navíc. V interních pokynech uveďte, že zaměstnanec nemá posílat celé smlouvy (např. úvěrové), pokud stačí potvrzení od banky. Nechte zaměstnance, ať citlivé pasáže, které nejsou pro účel relevantní, mohou bezpečně začernit (pokud tím neznemožní kontrolu nároku). A u papírů řešte kopie: když nepotřebujete kopii, nedělejte kopii.
U ročního zúčtování se snadno stane, že doklady kolují e-mailem nebo leží vytištěné na stole. Jenže GDPR musí být založeno na řízeném přístupu, prokazatelných pokynech a zabezpečených postupech – a to i uvnitř firmy.
Dobrá zpráva: ochrana dat při ročním zúčtování se dá výrazně zlepšit i bez drahých projektů. Klíčové je odstranit improvizaci a udělat z procesu „řízený koridor“.
1) Jedno místo příjmu dokladů. Zvolte jediný kanál: zabezpečený HR/mzdový portál, řízenou složku, nebo datově bezpečný formulář. Pokud musí být e-mail, nastavte alespoň pravidlo „pouze na určenou adresu“, ideálně s šifrovaným přenosem a omezeným přístupem ke schránce.
2) Need-to-know přístupy. Přístup k podkladům nemá mít „celé HR“. Přístupová práva nastavte podle role: sběr ≠ kontrola ≠ zúčtování ≠ archivace. GDPR vyžaduje, aby se zabránilo neoprávněnému zpřístupnění a aby se s daty zacházelo bezpečně.
3) Žádné volné kopírování. U digitálních dokumentů hlídejte, aby se netvořily kopie na ploše, v osobních cloudech nebo v chatovacích aplikacích. U papíru minimalizujte tisk a řešte „tiskárnové incidenty“ (dokument zapomenutý ve výstupním zásobníku).
4) Evidence práce s dokumenty. U vyšších rizik se vyplatí mít dohledatelnost: kdo dokument otevřel, kdy, kde je uložen, kdo ho smazal. Nejde o špehování zaměstnanců, ale o schopnost zpětně vyšetřit incident a prokázat, že máte proces pod kontrolou.
5) Doba uložení a skartace. Roční zúčtování nesmí skončit „v šanonu navždy“. Nastavte retenční pravidla: co archivujete, jak dlouho, kde, kdo má přístup a kdy probíhá skartace (papír) nebo bezpečné smazání (digitál). Připojte k tomu jednoduchou interní směrnici, aby šlo postup opakovat každý rok stejně.
Mnoho zaměstnavatelů dnes mzdy outsourcuje nebo používá externí mzdové/HR systémy. To je běžné, ale z pohledu GDPR tím přibývá další vrstva povinností: jasně nastavit vztah správce–zpracovatel a bezpečnostní standardy.
Pokud externí dodavatel zpracovává osobní údaje vašich zaměstnanců vaším jménem, typicky vystupuje jako zpracovatel a musíte mít uzavřenou odpovídající smlouvu dle GDPR. Ta má mimo jiné upravovat předmět a dobu zpracování, typy údajů, povinnosti zpracovatele, mlčenlivost osob, bezpečnostní opatření, režim subdodavatelů a podmínky pro výmaz/vrácení dat po skončení služby.
U ročního zúčtování myslete na dvě praktické situace:
A konečně: nezapomeňte, že účetní často pracují i z domova. Pokud to umožňujete, nastavte minimální standard (firemní zařízení, přístup přes VPN, zákaz ukládání do osobních úložišť, automatické zamykání obrazovky, bezpečné mazání dočasných souborů). V praxi to bývá největší slabé místo – a přitom nejjednodušší na úpravu pravidly a školením.
Roční zúčtování daně je každoroční „sezóna“ zvýšené administrativy a zároveň období, kdy zaměstnavatelé zpracovávají nejcitlivější osobní údaje zaměstnanců. Nejde jen o identifikační data a mzdy, ale i o podklady k odpočtům a slevám, které mohou odhalovat rodinnou situaci, dárcovství a zejména finanční závazky (např. úroky z hypotéky). Právě kombinace velkého objemu dokumentů, časového tlaku a více lidí v procesu vytváří typické riziko chyb: kopie navíc, sdílení přes e-mail, volně dostupné složky nebo vytištěné doklady ponechané bez dozoru.
GDPR přitom vyžaduje, aby údaje byly zpracovávány způsobem zajišťujícím integritu a důvěrnost a aby osoby s přístupem zpracovávaly data pouze na pokyn zaměstnavatele. Správce má mít nastavená vhodná technická a organizační opatření odpovídající riziku a umět prokázat, že procesy fungují.
Prakticky to znamená: sjednotit místo příjmu dokladů, omezit přístup na „need-to-know“, používat bezpečné kanály a řízené úložiště, minimalizovat kopie, nastavit retenční pravidla a skartaci. U outsourcovaných mezd je nezbytné smluvně ošetřit roli zpracovatele a bezpečnostní standardy. A protože incidenty se nejčastěji dějí v rychlosti, vyplatí se mít jednoduchý postup pro jejich zachycení a řešení. Roční zúčtování pak přestane být každoroční improvizací – a stane se opakovatelným procesem, který chrání zaměstnance i zaměstnavatele.
Ano. Pokud zaměstnanec nepředloží potřebné doklady ve lhůtě, plátce daně roční zúčtování neprovede.
Standardně do 15. února po uplynutí zdaňovacího období; připadne-li tento den na víkend/svátek, posouvá se na nejbližší pracovní den.
Ne. GDPR vyžaduje i řízený přístup, jasné pokyny a přiměřená technická a organizační opatření, aby byla data chráněna před neoprávněným přístupem či zveřejněním.
Neřízené předávání dokladů (e-mail, chat, osobní úložiště), příliš široká přístupová práva a zbytečné kopie (tisky, skeny, přeposílání).
Smluvní ošetření role zpracovatele podle GDPR (typicky zpracovatelská smlouva) a nastavené bezpečnostní standardy, včetně práce se subdodavateli a režimu výmazu/vrácení dat.
Jeden bezpečný kanál pro sběr dokladů, omezení přístupů na „need-to-know“, zákaz ukládání do osobních úložišť, pravidla pro tisk a skartaci a jednoduchý postup pro řešení incidentů.
Nejste si jistí, jak správně postupovat v oblasti daní, abyste nešlápli vedle? Pomůžeme vám zorientovat nejen v zákoně, ať už jde o řešení konkrétní daňové situace, přípravu na kontrolu ze strany finančního úřadu či obranu před soudem.
Ondřej je ten člověk, v jehož hlavě uzrál nápad poskytovat advokátní služby online. Právním službám se věnuje již déle než 10 let a rád klientům pomáhá, když si nevědí rady s právními problémy.
Osobně i online. Stačí si vybrat vhodnou službu, nebo zvolit nezávislou konzultaci když si nejste jistí.
