Kérdése van a tagsággal kapcsolatban?

06-23/365-666  |  info@minke.hu

Mutasd a menüt

GDPR gyakorlati alkalmazása könyvelőirodáknak

Egyesületünk a napokban hatályba lépő közösségi adatvédelmi rendeletnek való megfelelés érdekében összeállított egy GDPR adatvédelmi csomagot, kifejezetten könyvelőirodák számára.Ezen csomag dokumentumainak használatával egyesületünk valamennyi (jelenlegi és jövőbeni) mikro-, kis- és középvállalkozásnak minősülő könyvelőirodája teljesíteni tudja a GDPR hatálybalépésével szigorodó alapvető és legfontosabbadatvédelmi követelményket.

A GDPR 2018. május 25. napjától alkalmazandó. Tekintettel a megrendelők nagy számára és megrendelőink elégedettségére, mindenkit bátorítunk, hogy rendelje meg a GDPR adatvédelmi csomagot, amennyiben eddig nem tette meg.

Cikkünkben röviden ismertetjük, hogy általánosságban milyen fontos követelményeket állapít meg a GDPR, ez milyen kötelezettségeket ró akönyvelőirodákra, illetve, miként teljesíti ezen kötelezettségeket a csomagban található dokumentumok használata, melyek azok a kötelezettségek, amelyekről szintén hallani lehet a GDPR vonatkozásában, de az egyesület tagjai esetébenfigyelmen kívül hagyhatók.

 

Milyen mértékben alakul át a hazai adatvédelmi szabályozás a GDPR hatálybalépésével?

Hazánkban eddig az információs önrendelkezési jogról és információszabadságról szóló2011. évi CXII. törvény(„Infotv.”) szabályozta a személyes adatok kezelését, amely mellett 2018. május 25. napjától az uniós szintű GDPR rendelet is alkalmazandó.

A GDPR rendelet uniós szinten egységesíti a személyes adatokra vonatkozó szabályokat, új intézményeket vezet be, szigorítja az uniós szabályozás eddigi szintjét, és jelentős bírság kiszabását teszi lehetővé. Jórészt ennek köszönhető a GDPR körüli nagy érdeklődés, és az adatkezelést végző személyek és szervezetek igyekezete, hogy a rendeletnek teljes mértékben megfeleljenek.

Le szeretnénk azonban szögezni, hogy az Infotv. uniós szinten eddig is az egyik legmagasabb védelmi szintet biztosította a többi tagországhoz viszonyítva, így a magyar szabályzás óriási mértékben nem változik a rendelet hatályba lépése miatt. Az Infotv. módosítására a rendelet hatálybalépésére tekintettel már korábban is sorkerült, jövőben további módosítások várhatók, de az Infotv. hatályon kívül helyezéséről eddig hivatalos információ nem látott napvilágot.

A fentieken túlmenően érdemes tudni, hogy a rendelet a tagállamok által eddig kialakított védelmi szintet nem csökkentheti, így azon nemzeti szabályok, amelyek a rendeletnél szigorúbb követelményeket állítanak az adatkezelés vonatkozásában, a rendeleten túl továbbra is alkalmazandók.

 

Milyen szempontok alapján készítettük el a csomagot?

Elöljáróban meg szeretnénk jegyezni, tekintettel arra, hogy egyesületünk tagjai túlnyomó részt mikro-, kis- és közepes vállalkozások, a csomag összeállításakor olyan dokumentumokat nem tettünk a csomag részévé, amelyek ezen vállalkozások esetén nem szükségesek. Így azonban előfordulhat, hogy bizonyos könyvelőirodák további dokumentumok beszerzésére/ elkészítésére kötelesek, amelyek alapvetően nem képezik a csomag tartalmát.

Továbbá arra is fel szeretnénk hívni a figyelmet, hogy a csomag kifejezetten könyvelőirodák számára, a könyvelőirodákra megállapított jogszabályi kötelezettségek teljesítésére lettek megalkotva, nem pedig a könyvelőirodák ügyfeleit jelentő természetes és jogi személyek adatkezelési tevékenységére.A megbízó ügyfelek maguk kötelesek megtenni minden intézkedést annak érdekében, hogy adatkezelésükkel összefüggésben fennálló kötelezettségeiknek eleget tegyenek.

 

Milyen kötelezettségei vannak a kis könyvelőirodáknak a személyes adatok kezelésével összefüggésben?

Mind a GDPR, mind az Infotv. alapján ahhoz, hogy az adatkezelés jogszerűnek minősüljön, az adatkezeléshez megfelelő jogalappal kell rendelkezni. Ez lehet az érintett hozzájárulása, de lehet valamely jogszabályban (uniós rendelet, magyar törvény, önkormányzati rendelet, stb.) meghatározott egyéb jogalap is (adatkezelő kötelezettségének teljesítése, közérdek, szerződés teljesítése, stb.).

A megfelelő jogalapon túl szükséges az érintett megfelelő tájékoztatása is, akár az érintett hozzájárulása, akár más jogalap alapján kerül sor az adatkezelésre. A tájékoztatásnak meg kell előznie az adatkezelést megkezdését, és tartalmaznia kell minden fontos információt az adatkezelés vonatkozásában (pl. adatkezelő személye, a kezelt adatok köre, érintettek jogai és jogorvoslati lehetőségi, stb.).

A csomag valamennyi olyan dokumentumot tartalmaz, amely szükséges ahhoz, hogy a könyvelőiroda a személyes adatok kezelésével kapcsolatos alapvető kötelezettségeinek eleget tudjon tenni. A tájékoztató átvétele, tudomásul vétele és aláírása (illetve az adatkezeléshez hozzájáruló nyilatkozat aláírása) ugyanis egyben az adatkezeléshez történő hozzájárulásnakminősül. Ennek alapján mind a megfelelő jogalap (hozzájárulás), mind az előzetes tájékoztatás követelménye teljesül.

 

Ezek alapján mely dokumentumok képezik a csomag tartalmát?

A csomag tartalmát képezi az Adatkezelési tájékoztató, mely egyrészt tájékoztatja az érintettet az adatkezelés részleteiről, másrészt pedig az érintett annak aláírásával elfogadja azt, hozzájárulva személyes adatai kezeléséhez. Az adatkezelési tájékoztató felsorolja a kezelt adatok körét, az adatkezeléssel érintettek körét, az adatkezelés célját, az adatkezelés időtartamát, az adatok feldolgozásához igénybe vett közreműködőket, az adatok megismerésére jogosultakat, az adatok átadását és továbbítását bemutató információkat, az adatbiztonságra vonatkozó követelményeket, az érintettek jogait és jogorvoslati joguk gyakorlásának lehetőségét. Az adatkezelési tájékoztató ezzel teljesíti azon követelményeket, mely szerint a tájékoztatásnak az adatkezelést meg kell előznie, tömörnek, egyértelműnek, könnyen érthetőnek és könnyen hozzáférhetőnek kell lennie.

A felsorolt pontok egy része valamennyi könyvelőiroda vonatkozásában ugyanúgy alakul, más pontok vonatkozásában azonban a pontok módosítására (kiegészítés, törlés) van szükség. A dokumentumokat szerkeszthető formában bocsátjuk rendelkezésre, a kitöltendő részeket sárgával jelöljük. A dokumentumok kitöltését a csomagban található részletes Útmutatósegíti.

Az Adatkezelési tájékoztatót a megbízóval kötött könyvelési megbízási szerződés részévé ajánljuk tenni, ez meglévő szerződések esetén a szerződés módosításával oldható meg. Amennyiben az Adatkezelési tájékoztató használata akár már meglévő szerződés miatt, akár más okból nem használható, az Adatkezeléshez hozzájáruló nyilatkozat, a Nyilatkozat adatkezelési jogosultságról és a Megállapodás munkáltatói adatkezelésrőldokumentumok együttes alkalmazásával váltható ki a Tájékoztató használata, mégpedig a következőképpen, melyet az alábbi ábrával is szemléltetünk.

A Megállapodás munkáltatói adatkezelésről megteremti a jogalapot arra, hogy a megbízó cég a munkavállalói személyes adatait kezelje, azokat a munkavállaló hozzájárulásával harmadik személyek (jelen esetben a könyvelőiroda) felé továbbítsa. A Nyilatkozat adatkezelési jogosultságról annak megerősítése, hogy a megbízó cég munkáltatóként rendelkezik a munkavállalók személyes adatai kezeléséhez, továbbításához való jogosultsággal. Az Adatkezeléshez hozzájáruló nyilatkozattal a megbízó jogalapot ad a könyvelőirodának a birtokába került személyes adatok kezeléséhez.

Megjegyezzük, hogy utóbbi, Megállapodás munkáltatói adatkezelésről elnevezésű dokumentum a könyvelőiroda és saját alkalmazottai, valamint a megbízó cégek és munkavállalóik viszonyában egyaránt felhasználható.

 

Megállapodás munkáltatói adatkezelésről → Nyilatkozat adatkezelési jogosultságról → Adatkezeléshez hozzájáruló nyilatkozat

 

 

Jogszabályi kötelezettség hiányában mely dokumentumok nem képezik a csomag tartalmát?

A GDPR hatálybalépésével új kötelezettségek jelennek meg az adatkezelők vonatkozásában, melyek közül a legfontosabb az adatkezelési nyilvántartás vezetése, az adatvédelmi incidensek bejelentési nyilvántartásának a vezetése, valamint a belső adatvédelmi szabályzat elfogadása.

A továbbiakban röviden ismertetjük ezen kötelezettségek tartalmát, és azt, hogy ezen kötelezettségek miért nem állnak fel egyesületünk tagjai vonatkozásában.

 

Szükség van-e minden esetben adatvédelmi nyilvántartás vezetésére?

A GDPR alapján a korábban fennálló, adatvédelmi hatóságok felé történő bejelentési kötelezettség 2018. május 25. napjától megszűnik, helyette pedig adatvédelmi nyilvántartás vezetési kötelezettséget ír elő. Az adatkezelési nyilvántartást mind az adatkezelőnek (aki az adatok kezelésének szabályait meghatározza), mind az adatfeldolgozónak (aki az adatkezelő utasítása alapján az adatokat kezeli) vezetnie kell, és a következő elemekre kell mindenképpen kiterjednie a GDPR 30. cikke alapján: adatkezelő neve és elérhetősége, az adatkezelés célja, az adatkezeléssel érintettek kategóriái, a kezelt személyes adatok kategóriái, azon címzettek, akikkel a személyes adatokat közlik, közölni fogják. Amennyiben pedig lehetséges, a továbbiakon túlmenően az adatok törlésére előirányzott határidők, valamint az adatok biztonságát szolgáló megfelelő technikai és szervezeti intézkedések bemutatását is tartalmaznia kell a nyilvántartásnak. Mindennek az a célja, hogy egy esetleges adatvédelmi hatósági vizsgálat esetén ellenőrizhető és bizonyítható legyen, hogy az adatok kezelésére a releváns jogszabályok betartásával került sor.

Ezen adatkezelési nyilvántartás vezetési kötelezettség azonban 250 főt meg nem haladó vállalkozások esetében nem alkalmazandó. Tekintve, hogy egyesületünk tagjai a 250 főt meg nem haladó vállalkozások, nem tettük a GDPR csomag részévé az adatkezelési nyilvántartást. Amennyiben azonban arra a megállapításra jut, hogy a jogszabályok értelmében adatvédelmi nyilvántartás vezetési kötelezettsége van, vagy egyéb okból szeretne adatvédelmi nyilvántartást vezetni, örömmel állunk rendelkezésre a nyilvántartás elkészítéséhez.

 

Szükség van-e minden esetben adatvédelmi incidensek bejelentésének nyilvántartására?

A vonatkozó jogszabályok alapján az adatvédelmi incidenseket (azaz amikor egy személyes adat kezelése során a jogszabályi követelményeket nem tartják be) be kell jelenteni az adatvédelmi hatóságnak, az incidensekről pedig nyilvántartást kell vezetni, szintén annak érdekében, hogy azokat az adatvédelmi hatóság ellenőrizhesse. A nyilvántartásnak ki kell terjednie az érintett adatra, az incidens lehetséges következményeire, a következmények elhárítására tett intézkedéseknek. A csomag részévé azért nem tettük az adatvédelmi incidens nyilvántartást, mert szerencsés esetben, a vonatkozó jogszabályok betartása esetén adatvédelmi incidensre nem kerül sor, így nincs miről nyilvántartást vezetni. Amennyiben azonban szükségét érzi, hogy rendelkezzen egy adatvédelmi incidensek vezetését szolgáló nyilvántartással, örömmel állunk rendelkezésre ennek elkészítéséhez.

 

Szükség van-e minden esetben belső adatvédelmi szabályzat elkészítése?

A GDPR alapján bizonyos esetekben adatvédelmi szabályzat elkészítése indokolt, és sokan gondolják úgy, hogy ez minden adatkezelő és adatfeldolgozó esetén fennálló kötelezettség. A GDPR alapján azonban belső adatvédelmi szabályzatot csak abban az esetben kell készíteni, ha az adatkezelési tevékenység vonatkozásában ez arányos. Álláspontunk szerint, tekintettel a könyvelőirodák nagyságára, és az általuk kezelt adatok mennyiségére és jellegére, nem indokolt egy adatvédelmi szabályzat elkészítése. Ezen túlmenően pedig fel szeretnénk hívnia figyelmet, hogy adatvédelmi szabályzatkészítési kötelezettségnek, abban az esetben, ha elkészítése indokolt lenne, eleget lehet tenni valamely GDPR szerinti magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz való csatlakozással.

Az Infotv. alapján pedig adatvédelmi és adatbiztonsági szabályzatot csak országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőnél vagy adatfeldolgozónál, pénzügyi szervezetnél, elektronikus hírközlési és közüzemi hatóságnál és egyéb állami és önkormányzati adatkezelőknek kell. Egyértelmű, hogy a könyvelőirodák a felsorolt kategóriák egyikébe sem tartoznak.

 

Miért ajánljuk a csomag megrendelését?

A csomag megrendelésével, és az abban található dokumentumok használatával eleget tehet a GDPR hatálybalépése következtében szigorodó alapvető adatvédelmi követelményeknek. A dokumentumok könnyen szerkeszthetők, a kitöltendő részek sárgával vannak jelölve a könnyebb használat érdekében,  a felsorolást tartalmazó listák pedig a könyvelőiroda igényei szerint tovább bővíthetők, csökkenthetők. A dokumentumok megfelelő használatát és kitöltését pedig egy Útmutatóval segítjük.