Adatkezelési tanácsok könyvelőknek

2019. április 23. 14:48
A könyvelők adatkezelési szempontból nincsenek könnyű helyzetben, mivel a rájuk vonatkozó szabályok nem csupán összetettek, hanem sajnos nem is egyértelműek. Az alábbiakban a legfontosabb kérdéseket, illetve félreértéseket vesszük sorra ezzel segítve őket a megfelelésben.

Adatkezelő vagy adatfeldolgozó ?

A GDPR alapján alapkérdésnek minősül, hogy adatkezelők vagy adatfeldolgozók vagyunk, hiszen teljesen eltérő kötelezettségek tapadnak az egyes státuszokhoz. Az adatkezelőknek teljesíteniük szükséges a GDPR-ban nevesített kötelezettségek özönét: kiterjedt tájékoztatási kötelezettségük van (adatkezelési tájékoztatók), nyilvántartásokat kell vezetniük (belső nyilvántartás, incidens nyilvántartás), szükség esetén hatásvizsgálatot kell végezniük, incidens kezelési-bejelentési kötelezettség terheli őket, illetve bizonyos esetekben adatvédelmi tisztviselő kijelölésére is kötelesek. Az adatfeldolgozók ezzel szemben csupán egy szűk tartalmú adatfeldolgozói belső nyilvántartással kell, hogy rendelkezzenek a GDPR 30. cikke alapján, valamint le kell szerződniük a GDPR 28. cikke alapján az adatkezelővel. Tájékoztatási, incidensvizsgálati-bejelentési, hatásvizsgálati kötelezettségük azonban nincsen. Amennyiben az adatvédelmi tisztviselő kijelölési feltételei fennállnak, számukra is szükséges lehet adatvédelmi tisztviselő kijelölése. Ezzel együtt látható, hogy a kötelezettségek nagyobb részét megússzák.

Fontos tehát annak eldöntése, hogy a könyvelő melyik státuszkategóriába tartozik. Ennek megállapítása azonban nem egyszerű, sok esetben markáns és nehezen követhető jogi érvrendszer dönti ugyanis el. A GDPR 4. cikke alapján adatkezelő az, aki az adatkezelés célját és eszközeit maga (önálló adatkezelő) vagy mással együtt meghatározza (közös adatkezelő). Adatfeldolgozónak pedig az minősül, aki más nevében kezel személyes adatokat. Amennyiben a könyvelő megállapodik egy céggel, akinek a megbízási szerződés keretében folyamatosan végzi a tevékenységét, és ebben a szerződésben a könyvelt ügyfél határozza meg az adatkezelés érdemi körülményeit (mit, hogyan könyveljen: ügyviteli szoftver használata pl.), abban az esetben adatfeldolgozásról beszélünk. Amennyiben azonban egyedi megbízást kap valaki például egy adóbevallás elkészítésére, az sokkal inkább adatkezelési, sem mint adatfeldolgozási tevékenységnek minősül. Nem egyszerű tehát a könyvelő státuszának meghatározása. Ezt bonyolítja tovább az eltérő jogértelmezések sokasága. Míg a hazai felügyeleti szerv és az Európai Unió Adatvédelmi Testületének állásfoglalása szerint a könyvelés egy nehezen meghatározható adatfeldolgozói, de néha adatkezelésbe átcsúszó tevékenység, addig az angol hatóság ezt a tevékenységet minden esetben adatkezelői tevékenységnek minősíti.

Kezelhet-e a könyvelő okiratmásolatot ?

Fontos tudni, hogy a könyvelő adatkezelésének is megfelelő jogalapon kell alapulnia. Amennyiben a könyvelő adatfeldolgozó, ebben az esetben a jogalapot az adatkezelő határozza meg, s ezt a könyvelő csak végrehajtja. Adatkezelő könyvelő esetében azonban magának kell ebben a kérdésben döntést hoznia. Amire azonban az ügyfelének sincsen jogalapja, arra ő sem fog rendelkezni megfelelő jogalappal. Felül kell tehát vizsgálni azt, hogy mely dokumentum lehet jogszerűen a könyvelőnél és mely dokumentum megsemmisítése, illetve az ügyfélnek történő visszaadása szükséges.

Lehet-e a könyvelő adatvédelmi tisztviselő ?

Gyakran merül fel kérdésként, hogy a könyvelő az ügyfelei vonatkozásában betölthet-e adatvédelmi tisztviselői megbízatást. Ennek vizsgálatakor a GDPR 37-39. cikkeit szükséges vizsgálat alá venni. Az adatvédelmi tisztviselővel szemben támasztott legfontosabb követelmények a szakmai rátermettség, az adatvédelmi jog gyakorlati szintű ismerete, az alkalmasság, az ügyfelétől való függetlenség, illetve az ügyvezetésnek való beszámolási kötelezettség. Könnyű belátni, hogy a könyvelő még abban az esetben sem minősülhetne független, és nem utasított szakértőnek, amennyiben megfelelő tudással és gyakorlattal rendelkezne. Más személyt kell tehát adatvédelmi tisztviselőnek választani. Amennyiben azonban az érintett könyvelő úgy dönt, hogy csupán adatvédelmi tisztviselői tevékenységet végez, a könyvelési feladat elvállalása nélkül elláthat ilyen jellegű tisztséget, hiszen jogi végzettséghez a pozíció nem kötött.

Ki felelős azért, hogy az adattovábbítás milyen formában történik?

A könyvelő az ügyfeleitől személyes adatokat kap, melyekből dolgozik. Ezen adatokat megkaphatja adathordozón, postai úton, emailben vagy meghatározott rendszerekhez, adatbázisokhoz való hozzáférés útján. Személyes adatok továbbítása esetén különös tekintettel kell lenni a GDPR 24., illetve 32. cikkeire, azaz tekintettel kell lenni azon kockázatokra, melyek a tárolt vagy továbbított személyes adatok elvesztéséből, megváltozásából vagy a jogosulatlan hozzáférésből erednek. Habár felelősség mindkét fél oldalán jelentkezik, az adatot továbbító fél felelőssége fokozottabb. Érdemes azt is rögzíteni, hogy kevés olyan hatósági döntés ismeretes, ahol az adatkezelő-adatfeldolgozó viszonyrendszerében jogsértés esetén utóbbi kapta volna a bírságot, de ez természetesen nem kizárt.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

Nemes ügyet szolgál a világ egyetlen festő malaca

2018. augusztus 27. 07:40
A spanyol festőzseniről, Pablo Picassoról kapta a nevét az a szerencsés malac, akit 2016-ban mentett ki gazdája, Joanne Lefson a vágóhídról. Az állatvédőként tevékenykedő hölgy tudatosan terelte a különös karrier felé kedvencét, miután kreativitást vélt felfedezni a malacban. A ház körüli felújítás adta a végső lökést, mikor Joanne észrevette, hogy Pigcasso nem csak gyűjtögeti az ecseteket, de pamacsként maszatol vele. Innen egyenes út vezetett a művészet világába.

Júniustól életbe lép a távmunkavégzés új szabályozása. A veszélyhelyzet megszűnését követően hatályba lépő törvénymódosításoknak köszönhetően hosszú távon megmarad az otthoni munkavégzés lehetősége. A rugalmas feltételek és a hibrid munkarend kialakí

2022. május 03. 11:19
2020-ban az egy főre jutó havi nettó átlagkereset hazánkban 210 585 Ft volt (ez 21%-kal alacsonyabb, mint a KSH által közölt, szűkebb körre vonatkozó adat (268 405 Ft). Szembetűnő az eltérés a település típusok között e téren. Míg Budapesten 276 ezer Ft (+17%), addig a városokban 204 ezer Ft-ot (+16%), a falvakban pedig 178 ezer Ft-ot (+15%) tett ki ez az érték (a megyei jogú városokban azonban csak 10%-ot). Ennek azonban részben az összetétel hatás az oka, mivel a munkajövedelmet bevallók száma 131 ezerrel kevesebb volt.