Az adatvédelem és adatbiztonság kérdései minden vállalkozást és üzleti együttműködést érintenek, nem kivétel ez alól a könyvelő és ügyfele kapcsolata sem. Fontos, hogy a szabályozásnak megfelelő működés biztosítva legyen és egy esetleges incidens is megfelelően kezelésre kerüljön. A legfontosabb kérdéseket jártuk körbe dr. Bajusz Viktor adatbiztonsági és adatvédelmi szakjogász segítségével. A beszélgetésre a Cashbook stúdióbeszélgetések eseménysorozat keretein belül került sor, ahol Volenszki Sándor, a Cashbook vezérigazgatója tette fel a könyvelőket érintő kérdéseket. 

Mióta létezik a GDPR és mit kell tudnunk róla? 

Az Európai Parlament még 2012-ben terjesztette elő az adatvédelmi reformot tartalmazó javaslatcsomagját, mely alapján 2016-ban született meg a GDPR, az Európai Unió általános adatvédelmi rendelete. A tagállamok 2 éves felkészülési időt kaptak, Magyarországon 2018. május 25-től lépett életbe a rendelet. Ezzel egységessé vált az adatvédelmi szabályozás az Európai Unión belül. 

Fontos tudni, hogy a GDPR egy európai uniós rendelet, tehát a magyar jogszabályok felett helyezkedik el. (szemben az irányelvvel, amit minden ország a saját jogrendszerébe implementál).  

Mi volt a rendelet megalkotásának fő célja? 

Tulajdonképpen az egész adatvédelmi jog védendő jogi tárgya a magánszféra, tehtá a magánszemélyek személyiségi jogait védi. A gyakorlatban pedig ez a személyes adatok védelmén keresztül valósul meg. Ennek megfelelően a GDPR célja is ez, hogy a magánszemélyek adatainak kezelésével kapcsolatban olyan előírásokat fogalmazzon meg, melyek ezt biztosítják. 

Ezek nagyon szigorú előírások, főleg a korábbi irányelvhez képest, így nem csoda, hogy felbolygatták a mikro-kis és középvállalkozások adminisztrációját, sokszor a felkészüléshez erőn felüli erőforrásokat kellett megmozgatni. 

Igaz-e, hogy a magánszemély számára ez előnyt jelent, hiszen őt védi a rendelet, a vállalkozások szempontjából viszont hátrány a megfelelési kötelezettség? 

Alapvetően igen, bár magánszemélyként is tudnék hátrányt mondani, hiszen a minden weboldalon megjelenő beleegyezést kérő ablakok kattintgatása nem szerencsés része a dolognak. De valóban a fő cél, hogy a magánszféra védelme biztosítva legyen, és a GDPR ezt teszi lehetővé. 

A mikro- kis- és középvállalkozások esetében jelentős terhet jelentett az életbe lépéskor, hogy minden korábban kialakított folyamatot, adminisztrációt az ügymenetben módosítani kellett. 

A GDPR alapelve a beépített adatvédelem, így minden egyes folyamatnál számolni kell a személyes adatok védelmével. 

Ugyanakkor a másik oldalon, a vállalkozások szempontjából is van előnye, például marketing szempontból jó üzenet lehet, ha a vállalkozás személyes adatokkal kapcsolatos dokumentációja megfelelő - ez vonzó lehet, akár az érintettek, akár a partnerek részéről, hogy egy összeszedett rendszerezett dokumentáció áll rendelkezésre. És a hatóság oldalát se felejtsük el. Bizonyos esetekben ellenőriznie kell a dokumentáció meglétét, és ha ez megfelelő, nem lehet ebből problémája a vállalkozásnak. 

Érdekes kérdés, hogy vajon az uniós szintű legnagyobb szolgáltatók (közösségi portálok, ingyenes levelezőrendszerek) adatkezelési gyakorlata mennyiben járult hozzá a szabályozás iránti igényhez? Illetve, érvényesül-e bármilyen arányosított mértékű elvárás, vagy a legkisebb vállalkozásoknak is ugyanazt kell teljesíteniük az adatvédelem területén? 

Az első felvetés esetében valószínűleg van ebben igazság, sok szakértő szerint azért is volt szükség a GDPR-ra, hogy azok a pénzösszegek, melyek a nagyvállalatok részéről a személyes adatok felhasználásával keletkeznek, például reklámokon keresztül, maradjanak az EU területén. 

Ami az arányosságot illeti, a rendelet egységes, minden adatkezelőre kötelező előírásokat tartalmaz. Bár vannak benne finomítások, például a kevesebb, mint 250 főt foglalkoztató vállalkozásoknál nem kell adatvédelmi nyilvántart vezetni, de olyan feltételeket szab meg hozzá, melynek a legtöbb vállalkozás nem felel meg (mint például, hogy csak alkalmi, ad-hoc adatgyűjtésről legyen szó) 

Az adatkezelő, adatfeldolgozó, illetve érintettek köre kit takar? Egy könyvelő-ügyfél kapcsolatban ki kicsoda ebből a szempontból? 

A rendelet alapját maga a személyes adat fogalma adja. Ennek minősül minden olyan információ, mely a természetes személyt azonosíthatja. 

Ebből is látszik, hogy az illető nem is kell, hogy beazonosításra kerüljön az adatkezelés során, elég, ha a lehetősége fennáll. Tehát ha valamilyen információval könnyen azonosítható. Ilyen például a név, lakcím és hasonló adatok vagy ezek kombinációja. 

Ezeket a kérdéseket mindig az adott adatkezelő adott adatkezelésénél kell nézni, mert lehetnek olyan intézkedések, amit megtesz az adatkezelő, mely miatt már nem számít személyes adatnak a kezelt információ. 

És akkor a ki kicsoda kérdésre visszatérve: adatkezelő az, aki az adatkezelés célját és eszközeit meghatározza, az adatfeldolgozó pedig, aki az adatkezelő nevében kezeli a személyes adatokat. 

A könyvelők esetében adatkezelésről akkor beszélhetünk, mikor például szerződést köt a vállalkozóval. Itt a vállalkozó személyes adatainak vonatkozásában a könyvelő adatkezelő lesz. 

Ugyanakkor adatfeldolgozóként vehető figyelembe, amikor a vállalkozó által szolgáltatott adatokat, például számlákat feldolgozza. Hiszen ezeket az információkat nem saját nevében, hanem a vállalkozó nevében és utasítására dolgozza fel. 

Ez a kettős szerep a legtöbb vállalkozásra jellemző, főleg akik megbízási jogviszonyban látnak el adatfeldolgozási tevékenységet, ők a legtöbb esetben adatkezelők is. 

Abban az esetben, ha a könyvelő alkalmaz alvállalkozót, például egy asszisztensi feladatra, távmunkában, az tipikusan az adatfeldolgozási kategória, hiszen nem az asszisztens határozza meg az adatfeldolgozás célját és eszközeit, hanem az adatkezelő utasítására jár el. 

A GDPR nem zárja ki, hogy több adatfeldolgozó legyen, de ennek is vannak szabályai, mint például, hogy az adatkezelőt tájékoztatni kell és hozzájárulása szükséges minden adatfeldolgozóra vonatkozóan. 

Mivel kell rendelkeznie egy könyvelőirodának a GDPR megfeleléshez?  

Az adatfeldolgozásra vonatkozóan természetesen szükséges egy megállapodás a vállalkozóval. A GDPR meghatározza ennek a tartalmát is, ezek közül a legfontosabbak a személyes adatkezeléssel kapcsolatos megállapodás, a felelősségmegosztás és az utasítás joga. 

A könyvelőnek nyilvántartást kell vezetnie, nem csak az adatfeldolgozói tevékenységről, hanem adatkezelőiről is. Ez a kettő nem teljesen ugyanaz, adatfeldolgozóként kevésbé szigorú, de sokan elfelejtik, hogy erre is szükség van. 

Emellett az adatbiztonsági intézkedéseknek is köteles eleget tenni. 

Van-e különbség a papír alapú és az elektronikus adatkezelés között? 

A GDPR a papír alapú és az elektronikus adatkezelésre egyaránt vonatkozik, nincs különbség a két típusú adatkezelés között ilyen értelemben. A gyakorlatban vannak eltérések, például a tárolásra, a megsemmisülésre vonatkozóan lehetnek. 

Az elektronikus dokumentumok előnye, hogy bármikor visszaállíthatóak, tehát ha biztonsági mentést készít az adatfeldolgozó vagy adatkezelő, akkor ez megoldott, bármikor helyettesíthetőek ezek a dokumentumok. Papír alapon viszont nagyon költséges és nehézkes újra előállítani az esetlegesen pótlásra szoruló dokumentumokat. 

Költség tekintetében az elektronikus dokumentumok tárolása hosszú távon sokkal olcsóbb, mint papír alapon ezt megoldani.   

Milyen dokumentumok szükségesek a GDPR-nak való megfeleléshez? 

A korábban említett megállapodás, tehát a GDPR-re vonatkozó szezrődéses kérdések belekerülhetnek a vállalkozóval kötött szerződésbe, nem kell, hogy külön dokumentum legyen. Emellett az adatkezelésről tájékoztatás szükséges. 

A nyilvántartás, amit vezetni kell, mindenkire vonatkozóan egységes, még a tartalmát is meghatározza a GDPR, hogy milyen rovatokat kell tartalmaznia. Adatkezelési kategóriánként kell meghatározni az adatkezelés minden sajátosságát.   

Elérhetőek olyan szolgáltatások, melyekkel a GDPR kockázata csökkenthető? 

Létezik ilyen, elsősorban szakmai biztosítási szolgáltatás, mely bizonyos mértékben kiterjed az adatkezelésre is, de érdemes megvizsgálni, milyen kockázatokra terjed ki. Az eddig ismert lehetőségek a bírságra nem terjednek ki, pedig az a legfontosabb kockázati tényező. 

Gyakori, hogy a könyvelők és ügyfeleik olyan ingyenes megoldásokat használnak a dokumentumok továbbítására, mint például Google Drive, Dropbox vagy hasonló szolgáltatások. Ezeket adatvédelmi szempontból mennyire ajánlott használni? 

Sokan nem tudják, de ezek a szolgáltatók az ingyenes megoldások esetében ki is zárják, hogy céges tevékenységre használják őket, ez általában szerepel is a használati feltételekben, hiszen nem vállalnak felelősséget a feltöltött anyagok tárolásáért. Ugyanakkor mivel elérhető bárki számára, lehet használni, de nem érdemes. A GDPR-nak egyáltalán nem tudnak megfelelni, kezdve azzal, hogy az adatfeldolgozási szerződés vagy megállapodás problémája mindenképpen felmerül. Azokat a tartalmi elemeket, amik megfelelhetnének a GDPR-nak, azokat biztosan nem lehet egy ilyen szolgáltatótól megkövetelni egy külön megállapodásban. 

A személyes adatok egy ilyen szolgáltatás használata esetén akár harmadik országba is kerülhetnek, ha éppen ott van szabad szerverkapacitása a szolgáltatónak. A GDPR ezzel kapcsolatban többlet követelményeket fogalmaz meg, ennek biztosan nem fog eleget tenni a szolgáltató. 

Ráadásul az adatbiztonság és a felelősség kérdése is fölmerül. Ha egy incidens fölmerül, mit várhatok el egy ingyenes szolgáltatótól?    Teljesíti-e a GDPR-ban meghatározott kötelezettségeit? Hogyan tud segíteni az incidens bejelentésénél? Valószínűleg ezekre nem tudna válaszolni, így ezek az ingyenes szolgáltatások nem jelentenek megfelelő megoldást a dokumentumok továbbítására. 

Az adatbiztonsághoz tartozhat az a kérdés is, hogy milyen szoftvereket használ a könyvelő. Például sokszor előfordul, hogy már nem támogatott windows verzióval dolgoznak. Ez mekkora kockázatot jelent? 

Azzal, hogy nem kap frissítéseket egy szoftver, nem lesz védve az újabb károkozók vagy behatolások ellen. Ez azért problémás, mert a GDPR előrírja,  hogy a tudomány és technika állásának megfelelő adatbiztonságot kell megvalósítani.  

A rendelet figyelembe veszi a költséghatékonyságot is, nem lehet aránytalan, de egy modern operációs rendszer alkalmazása nem jelent aránytalan kiadás. Főleg ahhoz képest, amilyen biztonságot tud nyújtani. Ezért ilyen szinten érdemes követni a technológia állását. 

Hasonló megfontolást igényel a vírusirtó és egyéb alkalmazott szoftverek használata is. Nem beszélve arról, hogy a GDPR szerint ez kötelezettségünk is. 

Készítettünk egy ellenőrzőlistát a könyvelők számára, mely tartalmaz minden szükséges tennivalót és dokumentumot a GDPR megfeleléshez. Reméljük, hasznos segítséget fog jelenteni!

Könyvelők és adatvédelem 

adatkezelési és adatfeldolgozási feladatok checklist 

1. Személyes adatok feltérképezése és az adatkezelés szükségességének ellenőrzése az adattakarékosság elvére figyelemmel (kizárólag annyi személyes adat kezelhető, amennyi az adatkezelési cél eléréséhez szükséges) 
2. Adatkezelő és adatfeldolgozói státusz elkülönítése 
   1. Adatkezelő: A vállalkozással kötött megbízási szerződés szerinti vállalkozó személyes adatai esetén adatkezelői státusz meghatározása 
   2. Adatfeldolgozó: A könyvelési feladatok tekintetében a vállalkozó nevében kezelt harmadik személyek személyes adatai vonatkozásában adatfeldolgozói státusz meghatározása 
3. Adatkezelés szükséges dokumentumai: 
   1. Adatkezelési nyilvántartás elkészítése és naprakész vezetése (tartalmi követelmény: GDPR 30. cikk (1) bekezdése), amely tartalmazza az incidens-nyilvántartást, adattovábbítási nyilvántartást és az érintetti kérelmek nyilvántartását is 
      1. Adatkezelési kategóriák, célok, jogalapok, időtartam, címzettek és adatbiztonsági intézkedések leírása 
   2. Adatkezelési tájékoztató elkészítése (a nyilvántartás alapján, tartalmi követelmény: GDPR 13. cikk (1)-(2) bekezdése) 
      1. Tulajdonképpen a nyilvántartás szerinti információk és az érintetti jogok leírása 
4. Adatfeldolgozás szükséges dokumentumai: 
   1. Adatfeldolgozási megállapodás megkötése a vállalkozóval, amely lehet a megbízási szerződés része is (tartalmi követelmény: GDPR 28. cikk (3) bekezdése) 
      1. az adatkezelés tárgya, időtartama, célja, a személyes adatok típusa, az érintettek kategóriái, adatbiztonsági intézkedések, az adatfeldolgozó és az adatkezelő kötelezettségeinek és jogainak, valamint felelősségének meghatározása, továbbá titoktartási nyilatkozat 
   2. Adatfeldolgozói nyilvántartás létrehozása (tartalmi követelmény: GDPR 30. cikk (2) bekezdése) 
      1. az adatfeldolgozó és adatkezelő neve és elérhetőségei, adatkezelési tevékenységek kategóriái, adatbiztonsági intézkedések általános leírása 
5. Adatbiztonsági intézkedések megfelelőségének ellenőrzése és végrehajtása mind az adatkezelési, mind az adatfeldolgozói adatkezelések vonatkozásában (követelmény: GDPR 32. cikk (1) bekezdése)