GDPR a könyvelőirodákban
Szerző: Sinka Júlia
Végzettség: Közgazdász, mérlegképes könyvelő, adótanácsadó, okleveles adószakértő (nemzetközi adózás és áfa)
Szakterület: Kis- és középvállalkozások számviteli és adózási kérdései
Az idei május nem csak a mérleg és az aktuális bevallások miatt lesz „sűrű”. A könyvelők számára is ad feladatokat az uniós adatvédelmi rendelet.
2018. május 25-től a személyes adatok kezelését Európai Uniós szinten szabályozó, korábbi 95/46/EK számú adatvédelmi rendeletet felváltja egy új.
Ez az Általános Adatvédelmi Rendelet: General Data Protection Regulation – azaz röviden GDPR, ami az eddiginél szigorúbb és minden tagállam számára alkalmazandó joganyag.
A hazai szabályozásban a kérdést eddig jogi keretekbe foglaló Info törvény továbbra is hatályban marad, de a GDPR szerinti szigorításokkal.
Mi köze ehhez a könyvelőknek?
Nos, nem csupán az, amire a GDPR szövegét még részleteiben nem tanulmányozó kollégáknak azonnal eszébe jut: vezessenek be bármit, ami az ügyfelek működését érinti, azok azonnal a könyvelőtől várják a gyors – és lehetőleg „konyhakész” – megoldást. Legyen bár szó a számviteli szolgáltatások körébe tényleg besorolható dologról, vagy attól teljesen idegen területről.
Jelen esetben e kettő sajátos találkozásáról beszélhetünk. Az adatvédelem ugyanis érinti magát a könyvelőt – e minőségében – és érinti ügyfeleit is.
A GDPR 2018. május 25-től teljes egészében kötelező minden, személyes adatokat kezelő társaság számára: a webáruházaktól a könyvelőirodákon és az egészségügyi szolgáltatókon át a csak munkaadói feladataikból eredően magánszemélyek személyes adatait nyilvántartó és felhasználó vállalkozásokig.
Valamilyen szinten ugyanis minden vállalkozás kezel személyes adatokat. Jellemzően az alább okokból, célokkal:
- munkavállalók személyes adatainak kezelése
- szerződéses partnerek (szállítók, vevők) adatainak kezelése
- látogatás, regisztráció a társaság honlapján
- hírlevél szolgáltatás
- törzsvásárlói listák
- webáruház értékesítés
- reklám kampányok
- nyereményjátékok
Lényeges, hogy személyes adatok alatt nem pusztán azok az információk értendők, amelyeket az érintett személyi igazolványából, lakcímkártyájáról leolvashatunk, hanem más formában megszerzett adatok is e körbe tartoznak.
Mit is jelent ez?
A természetes személyek azonosítására alkalmas adatokról van szó, a GDRP (4. cikk 1. bekezdés) csak ezek kezelésére vonatkozóan tartalmaz kötelező előírásokat.
Az azonosításra alkalmas adat bármely olyan információ lehet, ami közvetlen vagy közvetett módon azonosíthatóvá teszi a természetes személyt. Ideértendőek különösen a különféle azonosító nevek, vagy számok, helymeghatározó adatatok, online azonosítók vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján képzett vagy ezek alapján összekapcsolható azonosítók.
Fentieknek megfelelően, ezért csak kifejezetten az érintett engedélyével rögzíthetők az ún. különleges adatok, mint a faji eredetre a nemzetiségi hovatartozás, pártállásra, vallásos, más világnézeti meggyőződés, szexuális életre vonatkozó személyes adatok.
A vállalkozók joggal mondhatják, a szóban forgó adatokat nem öncélúan vagy puszta kíváncsiságból tárolják, hanem feladatuk van ezekkel – ki látott például olyan kereskedőt, aki nem ismeri a vevőinek (akik között akadnak magánszemélyek is) legalább a számla kiállításához szükséges adatait.
DE! Ha ezeket összekötjük az érintett vásárlási szokásaival – és ez önmagában a kibocsátott számlákból nyerhető adatokra építve is lehetséges – máris valóságos kincsesbányához jutottunk, mind a cégünk, mind a kapcsolódó területeken működő vállalkozások számára.
Ugyanez – például – egy egészségügyi vállalkozásról is elmondható. Nem nehéz átlátni, mely más vállalkozások profitálhatnának, mondjuk az adott környéken élő cukorbetegek lakcím adataiból, telefonszámából.
Érthető tehát a rendelet diktálta szigor, az adatkezelés alanyainak védelmében, jogaik biztosítására hozott intézkedések.
Biztosan sokan találkoztak már a „személyiséglopás” fogalmával – remélhetőleg csak filmekben: számos amerikai mozi, így például az e műfaj klasszikusának, a „Hálózat csapdájában” című filmnek, de a „Személyiségtolvaj” (Identity Thief) című vígjátéknak is ez a témája. Persze az ilyesmi élesben korántsem vicces, de a problémát ez utóbbi alkotás is jól érzékelteti.
Némi lazításként: a film negatív hőse – azért nem „rosszfiú”, mert egy hölgyről van szó -, Diana (a forgatókönyvíróként is ismert Melissa McCarthy alakításában) a „kőgazdagok” életét éli Miamiban. Ez még nem lenne baj, csak az ámokfutásnak is beillő vásárlásait Sandy Bigelow Patterson nevére szóló hitelkártyával fizeti.
Ez már önmagában is jó alap, még egy krimihez is. Tetézzük meg ezt azzal, hogy Sandy
férfi: számlakezelő és az Államok túlsó felén lakik. Pórul járt barátunknak (őt a már rendezőként is bemutatkozó Jason Bateman személyesíti meg) egy hete van, hogy levadássza a szélhámost, mielőtt a világa összeomlik, így elindul délre, hogy kérdőre vonja a nőt, aki betolakodott a bankszámlájára és az életébe.
Miközben a vígjátékok klasszikus kellékeit felvonultató film komoly megpróbáltatást jelent a nézők rekeszizmainak, az „igazi” Sandy-vel arra is ráébredünk, hogy milyen kemény meló visszaszerezni a saját nevünket egy ilyen helyzetben. Az biztos, hogy nem fognánk a hasunkat a nevetéstől…
(A veszély már Magyarországon is valós, az adatvédelem problémája a mozivászonról átköltözött az irodák falai közé.)
De térjünk vissza a GDPR-re!
A könyvelők, könyvelőirodák is értékes információkhoz jutnak például a bérszámfejtéshez szükséges adatokból. Egyebekben ők kétféle minőségükben is találkoznak a „védelemre szoruló” adatokkal!
Egyrészt vállalkozási tevékenységük során kezelik:
- munkavállalói személyes adatait
- szerződéses partnereik (szállítók, vevők) adatait
- a honlapjukon, internetes tevékenységük során regisztrált látogatók adatait,
- a hírleveleik címzettjeinek adatait.
- Másrész, mivel a könyvelés, bérszámfejtés e rendelet szerint adatfeldolgozó tevékenységnek minősül, amely során ügyfeleik munkavállalóinak személyes adatait kezelik, nyilvántartják, bevallásokat készítenek.
Ha már muszáj kezelni ezeket az adatokat, hogyan lehet azt jogszerűen tenni?
Az adatkezelés akkor nem sérti a hivatkozott irányelv rendelkezéseit, ha
- az adatok konkrétan meghatározott célból történő kezeléséhez az érintett hozzájárult, vagy
- az adatkezelés szerződéses, vagy
- jogi kötelezettség teljesítéséhez, vagy az érintett létfontosságú érdekeinek védelme miatt szükséges,
- az adatkezelő a közhatalom gyakorlása közben rögzíti a személyes adatot, illetve
- harmadik fél jogos érdekeinek védelmében szükséges az adatkezelés.
Az érintetteknek joga van kérelmezni az adatkezelőtől rá vonatkozó személyes adatokhoz való hozzáférést, helyesbítését, törlését, kezelésének korlátozását, tiltakozhat a személyes adatok kezelése ellen, továbbá joga van az adathordozhatósághoz és ahhoz, hogy a felügyeleti hatósághoz panaszt nyújtson be az adatkezelést érintő ügyekben.
Az adatkezelőnek tájékoztatási kötelezettsége van az adatvédelmi tisztviselőjének elérhetőségéről, az adatkezelés céljáról és jogalapjáról, az adattárolás időtartalmáról, garantálni kell az adatbiztonságot.
Mit tehetnek az e tekintetben is szabályos működésük érdekében a vállalkozók?
Első lépésként fel kell készülniük a feladatra! Ez az alábbi teendőket jelenti:
Üzleti folyamatok átvizsgálása, auditálása: különös figyelemmel a személyes adatok tárolásának helyére, hozzáférési jogosultsági szintekre.
- Belső szabályzatok készítése, illetve a már meglévők GDPR-nek megfelelő átalakítása az adatkezelési folyamatokról, kitérve a jogosultsági szintekre, az adatok törlésére, és módosítására, a biztonsági másolatból történő korábbi állapot visszaállítására, a korlátozott tárolhatóságra és az adatátadásra.
- Adatkezelési tájékoztatók készítése az érintettek részére.
- Érintett munkavállalók oktatása, tájékoztatása.
- Információbiztonsági szabályzat készítése, rögzítve az adatok titkosítására, korlátozott tárolhatóság szabályozására vonatkozó szabályokat, valamint az adatszivárgás, adattörlés, módosítás, jogosulatlan közlés elkerülése érdekében tett intézkedéseket, a tevékenység során alkalmazandó eljárást.
- A fentiek alapján szükséges és/vagy fejlesztendő IT területek meghatározása.
A következő lépés az új szabályok folyamatos betartása, azaz a fentiek gyakorlati alkalmazása.
Ehhez a könyvelőirodának adatvédelmi szabályzattal kell rendelkeznie, és az adatkezelő és adatfeldolgozói tevékenységéről nyilvántartást kell készítenie.
Továbbá tájékoztatnia kell a megbízóit és a munkavállalóit a könyvelőiroda adatfeldolgozói tevékenységéről és az ebből adódó kötelezettségekről, feladatokról.
A könyvelőirodának alkalmazottaitól titoktartási nyilatkozatot is kérnie kell, ezt is időben meg kell szövegezni, célszerűen jogászt is bevonva a munkába.
Gondoskodnia kell az adatbiztonság műszaki-technológiai feltételeiről is.
Fentiekhez ajánlom az alábbi – az adatkezelés alanyainak készült, de az adatkezelők számára is hasznos -, közérthetően megfogalmazott tájékoztatót („Adatvédelmi útmutató az uniós polgárok számára”):
https://ec.europa.eu/commission/sites/beta-political/files/data-protection-overview-citizens_hu.pdf
Legfrissebb
- 2024. április 15. Fontos változások az OBR-ben
- 2024. április 15. Amnesztia feledékeny társasági adózóknak
- 2024. április 11. Visszaszámlálás indul: finisben az SZJA bevallása. Támpontok, ha nincsen könyvelőd…
- 2024. március 19. Újra fókuszban a pénzmosás elleni szabályzat – a NAV már közzétette a szabályzatmintákat
- 2024. február 21. Fontos határidő közeleg – a NAV közleményben hívja fel rá figyelmet