GDPR22. februára 2026·8 min čítania·Aktualizované 8. marca 2026
E-faktúra a GDPR: Čo musíte vedieť o ochrane údajov
E-faktúry nie sú len obchodné dokumenty — obsahujú osobné údaje: mená kontaktných osôb, emailové adresy, telefónne čísla a adresy sídiel fyzických osôb. Nariadenie GDPR (EU 2016/679) sa preto vzťahuje aj na celý proces e-fakturácie, od odoslania cez prenos až po archiváciu. Zákon č. 385/2025 Z.z. zároveň stanovuje povinnú e-fakturáciu pre B2B od 1.1.2027. Ignorovanie GDPR môže znamenať pokuty až do výšky 20 miliónov eur alebo 4 % globálneho ročného obratu. Viac informácií nájdete na stránke čo je digitálny poštár.
📋Osobné údaje
Aké osobné údaje obsahuje e-faktúra
👤
Meno kontaktnej osoby
Meno a priezvisko osoby zodpovednej za objednávku alebo platbu je klasickým osobným údajom podľa čl. 4 GDPR. Ak je uvedené na faktúre, vzťahuje sa naň plná ochrana.
📧
Emailová adresa a telefón
Firemný email v tvare meno.priezvisko@firma.sk je osobný údaj. Rovnako mobilné číslo priradené konkrétnej osobe. Generické adresy (info@firma.sk) osobnými údajmi nie sú.
🏠
Adresa sídla — živnostník vs. s.r.o.
Adresa sídla právnickej osoby (s.r.o., a.s.) nie je osobným údajom. Avšak adresa bydliska živnostníka alebo SZČO, kde sídlo je totožné s domovom, osobným údajom je.
🏦
Bankové a platobné údaje
IBAN a číslo účtu môžu byť osobnými údajmi, ak sú viazané na fyzickú osobu (živnostník, fyzická osoba). Pri právnických osobách ide o firemné údaje mimo rozsahu GDPR.
ℹ️
IČO a DIČ: špeciálny prípad
IČO a DIČ právnickej osoby (s.r.o., a.s.) NIE SÚ osobnými údajmi podľa GDPR — identifikujú firmu, nie fyzickú osobu. Avšak IČO živnostníka je odvodené od rodného čísla, preto môže byť považované za osobný údaj a je potrebné zaobchádzať s ním s náležitou opatrnosťou.
🔗GDPR reťazec
Kto je kto v GDPR reťazci
🏢
Prevádzkovateľ (Controller) — vaša firma
Vaša spoločnosť, ktorá odosiela alebo prijíma faktúry, je prevádzkovateľom osobných údajov. Určujete účel a prostriedky spracúvania — nesiete hlavnú zodpovednosť za súlad s GDPR.
📬
Spracovateľ (Processor) — digitálny poštár
Digitálny poštár ako ePošťák je spracovateľom — spracúva osobné údaje vo vašom mene, podľa vašich pokynov. Nemá právo využívať dáta na vlastné účely. Musí konať striktne v rámci zmluvy o spracúvaní.
📄
Zmluva o spracúvaní (DPA) — povinná
Čl. 28 GDPR vyžaduje uzavretie zmluvy o spracúvaní osobných údajov (Data Processing Agreement) medzi prevádzkovateľom a každým spracovateľom. Bez tejto zmluvy je spracúvanie nezákonné. DPA musí obsahovať: predmet, dobu trvania, povahu a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb.
☁️
Sub-spracovateľ — cloudový poskytovateľ
Ak digitálny poštár ukladá dáta na cloudovej infraštruktúre (napr. AWS, Azure), stáva sa táto platforma sub-spracovateľom. Spracovateľ musí zabezpečiť, že aj sub-spracovateľ dodržiava rovnaké záväzky z GDPR.
✅Checklist
GDPR checklist pre e-fakturáciu
Skontrolujte si, či váš e-fakturačný proces spĺňa požiadavky GDPR. Označte položky, ktoré máte splnené:
Váš pokrok0/8 (0%)
⚖️Právny základ
Právny základ pre spracúvanie
📜
Zákonná povinnosť — čl. 6(1)(c) GDPR
Zákon č. 385/2025 Z.z. o elektronickej fakturácii a zákon o účtovníctve vás zaväzujú uchovávať faktúry a súvisiace doklady. Spracúvanie osobných údajov na tento účel je zákonné bez potreby súhlasu dotknutej osoby. Právny základ je plnenie zákonnej povinnosti.
🤝
Plnenie zmluvy — čl. 6(1)(b) GDPR
Fakturácia je neoddeliteľnou súčasťou obchodného vzťahu — bez nej nemožno plniť záväzky zo zmluvy. Spracúvanie osobných údajov kontaktných osôb obchodného partnera za účelom vystavenia a doručenia faktúry je oprávnené na základe plnenia zmluvy. Súhlas nie je potrebný.
🗄️Archivácia
Archivácia vs GDPR: 10 rokov vs právo na výmaz
Tu vzniká najčastejší konflikt: zákon vyžaduje uchovávať faktúry a účtovné doklady 10 rokov, zatiaľ čo GDPR dáva dotknutým osobám právo na výmaz ich osobných údajov (čl. 17 GDPR).
🚫
Faktúry NEMÔŽETE vymazať pred zákonnou dobou
Zákonná povinnosť archivácie (čl. 6(1)(c) GDPR) prevažuje nad právom na výmaz. Ak vás zákazník požiada o vymazanie jeho údajov z faktúry, môžete jeho žiadosť legitímne odmietnuť s odvolaním sa na zákonné povinnosti. Toto odmietnutie musíte písomne zdôvodniť a dotknutú osobu o tom informovať.
✓
Po 10 rokoch: povinnosť zaniká, údaje treba vymazať
Po uplynutí zákonnej doby archivácie faktúr (10 rokov) zaniká právny základ pre uchovávanie. Ak osobné údaje nie sú potrebné na iný zákonný účel, mali by byť vymazané alebo anonymizované. Ideálne je nastaviť automatický výmaz v systéme digitálneho poštára.
ePošťák rieši GDPR za vás
DPA v podmienkach služby, dáta v EÚ, šifrovaný prenos a automatický výmaz po zákonnej dobe.
Vyskúšajte ePošťák zadarmo🛡️ePošťák & GDPR
Ako ePošťák rieši GDPR
🔒
Kompletné GDPR riešenie v jednej službe
- ·DPA v podmienkach služby — zmluva o spracúvaní je súčasťou zmluvných podmienok, bez potreby samostatného dokumentu.
- ·Dáta uložené v EÚ — všetky e-faktúry sú uchovávané na serveroch v Európskej únii, čím sa vyhnete komplikáciám s prenosom do tretích krajín.
- ·Šifrovaný prenos TLS 1.3 — každý prenos dát je šifrovaný. Faktúra sa k príjemcovi dostane bezpečne cez sieť Peppol.
- ·Audit trail — každá akcia s faktúrou je zaznamenávaná, čo uľahčuje preukázanie súladu pri prípadnej kontrole.
- ·Automatický výmaz — po uplynutí zákonnej doby archivácie systém automaticky zmaže alebo anonymizuje osobné údaje.
❓FAQ
Časté otázky o GDPR a e-fakturácii
Áno, je to zákonná požiadavka podľa čl. 28 GDPR. Ak váš digitálny poštár spracúva osobné údaje vo vašom mene (čo pri e-fakturácii vždy robí), musíte mať uzavretú zmluvu o spracúvaní osobných údajov. Bez nej je spracúvanie nezákonné a vy ako prevádzkovateľ nesete zodpovednosť. ePošťák má DPA integrované priamo v podmienkach služby.
Nie počas zákonnej doby archivácie (10 rokov). Právo na výmaz podľa čl. 17 GDPR sa neuplatní, ak je spracúvanie nevyhnutné na splnenie zákonnej povinnosti. Zákon o účtovníctve a zákon č. 385/2025 Z.z. o elektronickej fakturácii vás zaväzujú faktúry uchovávať. Môžete žiadosť o výmaz legitímne odmietnuť, ale musíte zákazníka písomne informovať o dôvodoch odmietnutia.
To závisí od poskytovateľa digitálnej fakturácie. Vždy si overte, či sú servery umiestnené v EÚ/EHP — prenos do tretích krajín (USA, Ázii) podlieha prísnejším požiadavkám (štandardné zmluvné doložky alebo rozhodnutie o primeranosti). ePošťák ukladá všetky dáta výhradne na serveroch v Európskej únii.
Certifikovaní poskytovatelia Peppol Access Point musia mať vypracovaný plán kontinuity a plán ukončenia činnosti (exit plan). Pri výbere poskytovateľa sa informujte, ako prebieha prenos vašich dát v prípade ukončenia služby. Máte právo na prístup k vašim dátam a ich prenosnosť. ePošťák garantuje export dát v štandardnom formáte UBL 2.1.