25. ADATVÉDELMI SZABÁLYOK

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2022. június 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 118. számában (2022. június 1.)

Olvasói kérdés: Milyen feltételek esetén felel meg a könyvelő-, bérszámfejtő cég a GDPR követelményeinek?

Könyvelő-, bérszámfejtő cégek adatvédelmi felelőssége

A könyvelők és a bérszámfejtők munkájuk során nagyon gyakran találkoznak természetes személyek személyes adataival, amelyek kezelésére vonatkozik a GDPR összes rendelkezése. A GDPR alapján írásbeli adatfeldolgozói szerződést kell kötniük a megbízójukkal, amely lehet a megbízási szerződés része, de lehet külön szerződés is.

A könyvelő, bérszámfejtő további adatfeldolgozókat csak a megbízó előzetes értesítése és beleegyezése után vehet igénybe. Alapvető előírás a titoktartási kötelezettség, amely a könyvelő-, bérszámfejtő iroda valamennyi - a személyes adatokkal kapcsolatba kerülő - alkalmazottja esetén fennáll, és amiről tájékoztatni, illetve nyilatkoztatni is kell őket. Az adatok csak a megbízó utasításai alapján kezelhetők, az adatkezelés célját tehát szintén érdemes rögzíteni a megbízási szerződésben. Az adatbiztonság garantálása érdekében a lehető legcélravezetőbb technikai és szervezési intézkedéseket kell végrehajtani, amelyek segítik a megbízót abban, hogy az érintettek jogait (például törlési jog, tájékoztatási jog, hozzáférési jog, korlátozási jog, helyesbítési jog) biztosítsa, és kérelmeit megválaszolja.

A könyvelőnek, bérszámfejtőnek adatfeldolgozóként együtt kell működnie a megbízójával, ha annak adatkezelőként bármilyen feladata keletkezik, illetve hogy a szerződés megszűnésekor a megbízó döntésének megfelelően törli, megsemmisíti, visszajuttatja az adatokat, és törli a másolatokat is, kivéve azokat az adatokat, amelyekre vonatkozóan jogszabály előírja, hogy a könyvelő, bérszámfejtő köteles megőrizni.

Az adatvédelem fontos része a kapcsolódó nyilvántartások vezetése. A nyilvántartásban fel kell tüntetni az adatkezelő, azaz a könyvelő, bérszámfejtő vállalkozás nevét, elérhetőségeit, ha van, akkor adatvédelmi tisztviselője nevét és elérhetőségeit, az adatbiztonság érdekében tett intézkedéseit, valamint azt, hogy milyen érintetti kategória milyen típusú adatát, milyen célra és milyen jogalapon, meddig kezeli, az adatokat kinek továbbítja. Az adatfeldolgozói tevékenységről szóló nyilvántartásnak tartalmaznia kell minden megbízójának, azaz adatkezelőnek a nevét és elérhetőségeit, akiknek a nevében és megbízásából a könyvelést, bérszámfejtést végzi, annak leírását, hogy milyen jellegű adatkezelési tevékenységet végez ezen megbízóknak (például: könyvviteli szolgáltatás, bérszámfejtés stb.), kinek továbbítja az adatokat, valamint az adatbiztonság biztosítása érdekében tett intézkedései leírását. A nyilvántartásnak mindig naprakésznek kell lennie, és ha a felügyeleti hatóság kéri, be is kell mutatni. A nyilvántartás készülhet írásban, papíralapon vagy elektronikus formátumban is.

Nagyon fontos az úgynevezett adatkezelési incidensek nyilvántartása, illetve ilyen esetben a szükséges intézkedések megtétele.

Mivel a könyvelők, bérszámfejtők adatkezelők és adatfeldolgozók is egyben, ezért ilyen esetben mindkét minőségre vonatkozó kötelezettségüket teljesíteni kell. Amennyiben az adatvédelmi incidens kockázattal jár az érintettek jogaira nézve, akkor adatkezelőként köteles azt a tudomásszerzéstől számított 72 órán belül bejelenteni a felügyeleti hatóságnak a GDPR-ben meghatározott tartalommal. Adatfeldolgozóként pedig haladéktalanul köteles az adatkezelőt tájékoztatni az adatvédelmi incidensről.

Jó gyakorlat az adatok titkosítása, álnevesítése, a számítástechnikai hálózat erős tűzfallal, vírusvédelemmel való ellátása a jogellenes behatolás ellen, jogosultságkezelés bevezetése a számítástechnikai rendszerekhez, egyes dokumentumokhoz cégen belül, az adatok rendszeres biztonsági mentése úgy, hogy adatvesztés esetén vissza lehessen állni egy korábbi mentett verzióra, a rendszerek rendszeres ellenőrzése, tesztelése.

GDPR Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2022. június 1.) vegye figyelembe!