Adatvédelmi előírások a könyvelő, bérszámfejtő cégeknél


Milyen módon érinti a GDPR bevezetése a könyveléssel, bérszámfejtéssel foglalkozó vállalkozásokat? Milyen intézkedéseket kell megtenniük ezeknek a cégeknek annak érdekében, hogy megfeleljenek az adatvédelmi előírásoknak?


Megjelent a Társadalombiztosítási Levelekben 2018. június 12-én (339. lapszám), a kérdés sorszáma ott: 5769

[…] vonatkoznak, és amelyek a GDPR alapján különleges adatnak minősülnek. A bérszámfejtők ezeket az adatokat a megbízóik megbízásából a jogi kötelezettségek teljesítése érdekében jogosultak kezelni, külön hozzájárulás ehhez nem szükséges.Az adatkezelés tehát rendkívül tág fogalom, a személyes adattal való kapcsolatba kerülés szinte minden fázisát magában foglalja, és attól függően, hogy ez a kapcsolatba kerülés milyen mélységű, megvalósulhat "adatkezelő"-ként vagy "adatfeldolgozó"-ként is. Ez azért fontos, mert az adatkezelőnek és az adatfeldolgozónak különböző kötelezettségei vannak a GDPR-rel összefüggésben.Az adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Az adatkezelő tehát döntéshozó, aktív szerepet betöltő személy.Ezzel szemben adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Itt tehát hiányzik az adatkezelés céljainak, illetve eszközeinek önálló vagy együttes meghatározása, az érdemi döntéshozói szerep, csupán egy utasítást követő adatkezelési feladat kifejtése valósul meg az adatfeldolgozó által.Egy bérszámfejtő adatkezelése tipikusan adatfeldolgozói pozícióban valósul meg, de egy könyvelő már lehet adatkezelő is. Adatkezelő pl. akkor, amikor elvégzi ügyfelei személyes adatainak átvilágítását a pénzmosás megelőzéséről szóló jogszabály alapján, de akkor is, amikor könyvelési tevékenysége során a személyes adatokat érintően is esetlegesen önálló döntéseket hozhat. A könyvelők, bérszámfejtők adatkezelőnek minősülnek még a saját munkavállalóik adatai tekintetében, a megbízóik kapcsolattartói adatai tekintetében, a saját beszállítóik kapcsolattartói adatai tekintetében, a megbízó adatai esetén pedig akkor, ha a megbízójuk magánszemély (például adóbevallás elkészítésére ad megbízást), egyéni vállalkozó vagy mezőgazdasági őstermelő.A könyvelőknek, bérszámfejtőknek a GDPR alapján írásbeli adatfeldolgozói szerződést kell kötniük a megbízójukkal, amely lehet a megbízási szerződés része, de lehet külön szerződés is. Ennek legtöbb eleme eddig is kötelező, vagy legalábbis ajánlott volt ezen cégek részére, most viszont már súlyos anyagi vonzata is lehet annak, ha az adatok kezelésére vonatkozó megállapodások, illetve a tényleges tevékenységek nem kellő odafigyeléssel történnek.Érdemes tehát a meglévő megbízási szerződéseket átvizsgálni, és az adatkezelésre, illetve adatfeldolgozásra vonatkozó rendelkezéseket részletesen belefoglalni.Nagyon fontos például, hogy a könyvelő, bérszámfejtő további adatfeldolgozókat csak a megbízó előzetes értesítése és belegyezése után vehet igénybe. Alapvető előírás a titoktartási kötelezettség, amely a könyvelő-, bérszámfejtő iroda valamennyi -?a személyes adatokkal kapcsolatba kerülő - alkalmazottja esetén fennáll, és amiről tájékoztatni, illetve nyilatkoztatni is kell őket. Az adatok csak a megbízó utasításai alapján kezelhetők, az adatkezelés célját tehát szintén érdemes rögzíteni a megbízási szerződésben. Az adatbiztonság garantálása érdekében a lehető legcélravezetőbb technikai és szervezési intézkedéseket kell végrehajtani, amelyek segítik a megbízót abban, hogy az érintettek jogait (például törlési jog; tájékoztatási jog, hozzáférési jog, korlátozási jog, helyesbítési jog) biztosítsa és kérelmeit megválaszolja.Természetes kötelezettsége a könyvelőnek, illetve a bérszámfejtőnek, hogy adatfeldolgozóként együtt kell működnie megbízójával, ha annak adatkezelőként bármilyen feladata keletkezik, illetve hogy a szerződés megszűnésekor a megbízó döntésének megfelelően törli, megsemmisíti, visszajuttatja az adatokat, és törli a másolatokat is, kivéve azokat az adatokat, amelyekre vonatkozóan jogszabály előírja, hogy a könyvelő, bérszámfejtő ezen adatok megőrzésére köteles.A megbízó megbízásából adatfeldolgozóként kezelt adatok tekintetében a könyvelőknek, bérszámfejtőknek az érintettekkel szemben (vagyis például a megbízó munkavállalóival szemben) közvetlen kártérítési felelőssége van, ha megszegték a GDPR adatfeldolgozókra vonatkozó előírásait, figyelmen kívül hagyták vagy megszegték a megbízó adatkezelő utasításait. Ebben az esetben a könyvelő, bérszámfejtő érintettekkel szembeni felelőssége egyetemleges a megbízóval és a többi adatfeldolgozóval.Ezenkívül a felügyeleti hatóság a GDPR szabályainak megsértése esetén bírsággal sújthatja a könyvelőt, bérszámfejtőt, vagy más szankciót is alkalmazhat vele szemben, így utasíthatja az elmaradt tájékoztatás megadására, adatvédelmi auditot rendelhet el, helyszíni vizsgálatot végezhet, figyelmeztetheti a jogsértésre, elmarasztalhatja, utasíthatja a kérelem teljesítésére, a GDPR-rel való összhang megteremtésére, korlátozhatja vagy megtilthatja az adatkezelést, elrendelheti az adatok helyesbítését, törlését, megsemmisítését, korlátozását, és ha a könyvelő, bérszámfejtő rendelkezik valamilyen tanúsítvánnyal a GDPR-megfelelésre nézve, akkor a hatóság ezen tanúsítványát jogsértés esetén vissza is vonhatja.A bírság felső határa súlyos jogsértés esetén a világ-piaci forgalom 4 százaléka, vagy 20 millió euró, kisebb súlyú jogsértés esetén pedig 2 százalék és 10 millió euró, amelyik a magasabb összeg.Az adatvédelem fontos része a kapcsolódó nyilvántartások vezetése, amely nemcsak a könyvelő-, bérszámfejtő irodák, hanem valamennyi vállalkozás, azaz mind az adatkezelők, mind az adatfeldolgozók esetében fennáll.Adatkezelőként a nyilvántartásban fel kell tüntetni az adatkezelő, azaz a könyvelő-, bérszámfejtő vállalkozás nevét, elérhetőségeit, ha van, akkor adat-védelmi tisztviselője nevét és elérhetőségeit, az adatbiztonság érdekében tett intézkedéseit, valamint azt, hogy milyen érintetti kategória, milyen típusú adatát, milyen célra és milyen jogalapon, meddig kezeli, az adatokat kinek továbbítja.Az adatfeldolgozói tevékenységéről (vagyis a könyvelési, bérszámfejtési tevékenysége körében történt adatkezelésről) szóló nyilvántartásának pedig tartalmaznia kell […]
 
Kapcsolódó címkék:  
 

Elküldjük a választ e-mailen*

*
*ingyenes választ évente csak egyszer küldünk.
A *-gal megjelölt mezőket kötelező kitölteni.