Adatkezelési tanácsok könyvelőknek
Adatkezelő vagy adatfeldolgozó ?
A GDPR alapján alapkérdésnek minősül, hogy adatkezelők vagy adatfeldolgozók vagyunk, hiszen teljesen eltérő kötelezettségek tapadnak az egyes státuszokhoz. Az adatkezelőknek teljesíteniük szükséges a GDPR-ban nevesített kötelezettségek özönét: kiterjedt tájékoztatási kötelezettségük van (adatkezelési tájékoztatók), nyilvántartásokat kell vezetniük (belső nyilvántartás, incidens nyilvántartás), szükség esetén hatásvizsgálatot kell végezniük, incidens kezelési-bejelentési kötelezettség terheli őket, illetve bizonyos esetekben adatvédelmi tisztviselő kijelölésére is kötelesek. Az adatfeldolgozók ezzel szemben csupán egy szűk tartalmú adatfeldolgozói belső nyilvántartással kell, hogy rendelkezzenek a GDPR 30. cikke alapján, valamint le kell szerződniük a GDPR 28. cikke alapján az adatkezelővel. Tájékoztatási, incidensvizsgálati-bejelentési, hatásvizsgálati kötelezettségük azonban nincsen. Amennyiben az adatvédelmi tisztviselő kijelölési feltételei fennállnak, számukra is szükséges lehet adatvédelmi tisztviselő kijelölése. Ezzel együtt látható, hogy a kötelezettségek nagyobb részét megússzák.
Fontos tehát annak eldöntése, hogy a könyvelő melyik státuszkategóriába tartozik. Ennek megállapítása azonban nem egyszerű, sok esetben markáns és nehezen követhető jogi érvrendszer dönti ugyanis el. A GDPR 4. cikke alapján adatkezelő az, aki az adatkezelés célját és eszközeit maga (önálló adatkezelő) vagy mással együtt meghatározza (közös adatkezelő). Adatfeldolgozónak pedig az minősül, aki más nevében kezel személyes adatokat. Amennyiben a könyvelő megállapodik egy céggel, akinek a megbízási szerződés keretében folyamatosan végzi a tevékenységét, és ebben a szerződésben a könyvelt ügyfél határozza meg az adatkezelés érdemi körülményeit (mit, hogyan könyveljen: ügyviteli szoftver használata pl.), abban az esetben adatfeldolgozásról beszélünk. Amennyiben azonban egyedi megbízást kap valaki például egy adóbevallás elkészítésére, az sokkal inkább adatkezelési, sem mint adatfeldolgozási tevékenységnek minősül. Nem egyszerű tehát a könyvelő státuszának meghatározása. Ezt bonyolítja tovább az eltérő jogértelmezések sokasága. Míg a hazai felügyeleti szerv és az Európai Unió Adatvédelmi Testületének állásfoglalása szerint a könyvelés egy nehezen meghatározható adatfeldolgozói, de néha adatkezelésbe átcsúszó tevékenység, addig az angol hatóság ezt a tevékenységet minden esetben adatkezelői tevékenységnek minősíti.
Kezelhet-e a könyvelő okiratmásolatot ?
Fontos tudni, hogy a könyvelő adatkezelésének is megfelelő jogalapon kell alapulnia. Amennyiben a könyvelő adatfeldolgozó, ebben az esetben a jogalapot az adatkezelő határozza meg, s ezt a könyvelő csak végrehajtja. Adatkezelő könyvelő esetében azonban magának kell ebben a kérdésben döntést hoznia. Amire azonban az ügyfelének sincsen jogalapja, arra ő sem fog rendelkezni megfelelő jogalappal. Felül kell tehát vizsgálni azt, hogy mely dokumentum lehet jogszerűen a könyvelőnél és mely dokumentum megsemmisítése, illetve az ügyfélnek történő visszaadása szükséges.
Lehet-e a könyvelő adatvédelmi tisztviselő ?
Gyakran merül fel kérdésként, hogy a könyvelő az ügyfelei vonatkozásában betölthet-e adatvédelmi tisztviselői megbízatást. Ennek vizsgálatakor a GDPR 37-39. cikkeit szükséges vizsgálat alá venni. Az adatvédelmi tisztviselővel szemben támasztott legfontosabb követelmények a szakmai rátermettség, az adatvédelmi jog gyakorlati szintű ismerete, az alkalmasság, az ügyfelétől való függetlenség, illetve az ügyvezetésnek való beszámolási kötelezettség. Könnyű belátni, hogy a könyvelő még abban az esetben sem minősülhetne független, és nem utasított szakértőnek, amennyiben megfelelő tudással és gyakorlattal rendelkezne. Más személyt kell tehát adatvédelmi tisztviselőnek választani. Amennyiben azonban az érintett könyvelő úgy dönt, hogy csupán adatvédelmi tisztviselői tevékenységet végez, a könyvelési feladat elvállalása nélkül elláthat ilyen jellegű tisztséget, hiszen jogi végzettséghez a pozíció nem kötött.
Ki felelős azért, hogy az adattovábbítás milyen formában történik?
A könyvelő az ügyfeleitől személyes adatokat kap, melyekből dolgozik. Ezen adatokat megkaphatja adathordozón, postai úton, emailben vagy meghatározott rendszerekhez, adatbázisokhoz való hozzáférés útján. Személyes adatok továbbítása esetén különös tekintettel kell lenni a GDPR 24., illetve 32. cikkeire, azaz tekintettel kell lenni azon kockázatokra, melyek a tárolt vagy továbbított személyes adatok elvesztéséből, megváltozásából vagy a jogosulatlan hozzáférésből erednek. Habár felelősség mindkét fél oldalán jelentkezik, az adatot továbbító fél felelőssége fokozottabb. Érdemes azt is rögzíteni, hogy kevés olyan hatósági döntés ismeretes, ahol az adatkezelő-adatfeldolgozó viszonyrendszerében jogsértés esetén utóbbi kapta volna a bírságot, de ez természetesen nem kizárt.
Dr. Kéri Ádám
ügyvéd