Az adatvédelem és adatbiztonság kérdései minden vállalkozást és üzleti együttműködést érintenek, nem kivétel ez alól a könyvelő és ügyfele kapcsolata sem. Fontos, hogy a szabályozásnak megfelelő működés biztosítva legyen és egy esetleges incidens is megfelelően kezelésre kerüljön. A legfontosabb kérdéseket jártuk körbe dr. Bajusz Viktor adatbiztonsági és adatvédelmi szakjogász segítségével. A beszélgetésre a Cashbook stúdióbeszélgetések eseménysorozat keretein belül került sor, ahol Volenszki Sándor, a Cashbook vezérigazgatója tette fel a könyvelőket érintő kérdéseket.
Mióta létezik a GDPR és mit kell tudnunk róla?
Az Európai Parlament még 2012-ben terjesztette elő az adatvédelmi reformot tartalmazó javaslatcsomagját, mely alapján 2016-ban született meg a GDPR, az Európai Unió általános adatvédelmi rendelete. A tagállamok 2 éves felkészülési időt kaptak, Magyarországon 2018. május 25-től lépett életbe a rendelet. Ezzel egységessé vált az adatvédelmi szabályozás az Európai Unión belül.
Fontos tudni, hogy a GDPR egy európai uniós rendelet, tehát a magyar jogszabályok felett helyezkedik el. (szemben az irányelvvel, amit minden ország a saját jogrendszerébe implementál).
Mi volt a rendelet megalkotásának fő célja?
Tulajdonképpen az egész adatvédelmi jog védendő jogi tárgya a magánszféra, tehtá a magánszemélyek személyiségi jogait védi. A gyakorlatban pedig ez a személyes adatok védelmén keresztül valósul meg. Ennek megfelelően a GDPR célja is ez, hogy a magánszemélyek adatainak kezelésével kapcsolatban olyan előírásokat fogalmazzon meg, melyek ezt biztosítják.
Ezek nagyon szigorú előírások, főleg a korábbi irányelvhez képest, így nem csoda, hogy felbolygatták a mikro-kis és középvállalkozások adminisztrációját, sokszor a felkészüléshez erőn felüli erőforrásokat kellett megmozgatni.
Igaz-e, hogy a magánszemély számára ez előnyt jelent, hiszen őt védi a rendelet, a vállalkozások szempontjából viszont hátrány a megfelelési kötelezettség?
Alapvetően igen, bár magánszemélyként is tudnék hátrányt mondani, hiszen a minden weboldalon megjelenő beleegyezést kérő ablakok kattintgatása nem szerencsés része a dolognak. De valóban a fő cél, hogy a magánszféra védelme biztosítva legyen, és a GDPR ezt teszi lehetővé.
A mikro- kis- és középvállalkozások esetében jelentős terhet jelentett az életbe lépéskor, hogy minden korábban kialakított folyamatot, adminisztrációt az ügymenetben módosítani kellett.
A GDPR alapelve a beépített adatvédelem, így minden egyes folyamatnál számolni kell a személyes adatok védelmével.
Ugyanakkor a másik oldalon, a vállalkozások szempontjából is van előnye, például marketing szempontból jó üzenet lehet, ha a vállalkozás személyes adatokkal kapcsolatos dokumentációja megfelelő – ez vonzó lehet, akár az érintettek, akár a partnerek részéről, hogy egy összeszedett rendszerezett dokumentáció áll rendelkezésre. És a hatóság oldalát se felejtsük el. Bizonyos esetekben ellenőriznie kell a dokumentáció meglétét, és ha ez megfelelő, nem lehet ebből problémája a vállalkozásnak.
Érdekes kérdés, hogy vajon az uniós szintű legnagyobb szolgáltatók (közösségi portálok, ingyenes levelezőrendszerek) adatkezelési gyakorlata mennyiben járult hozzá a szabályozás iránti igényhez? Illetve, érvényesül-e bármilyen arányosított mértékű elvárás, vagy a legkisebb vállalkozásoknak is ugyanazt kell teljesíteniük az adatvédelem területén?
Az első felvetés esetében valószínűleg van ebben igazság, sok szakértő szerint azért is volt szükség a GDPR-ra, hogy azok a pénzösszegek, melyek a nagyvállalatok részéről a személyes adatok felhasználásával keletkeznek, például reklámokon keresztül, maradjanak az EU területén.
Ami az arányosságot illeti, a rendelet egységes, minden adatkezelőre kötelező előírásokat tartalmaz. Bár vannak benne finomítások, például a kevesebb, mint 250 főt foglalkoztató vállalkozásoknál nem kell adatvédelmi nyilvántart vezetni, de olyan feltételeket szab meg hozzá, melynek a legtöbb vállalkozás nem felel meg (mint például, hogy csak alkalmi, ad-hoc adatgyűjtésről legyen szó)
Az adatkezelő, adatfeldolgozó, illetve érintettek köre kit takar? Egy könyvelő-ügyfél kapcsolatban ki kicsoda ebből a szempontból?
A rendelet alapját maga a személyes adat fogalma adja. Ennek minősül minden olyan információ, mely a természetes személyt azonosíthatja.
Ebből is látszik, hogy az illető nem is kell, hogy beazonosításra kerüljön az adatkezelés során, elég, ha a lehetősége fennáll. Tehát ha valamilyen információval könnyen azonosítható. Ilyen például a név, lakcím és hasonló adatok vagy ezek kombinációja.
Ezeket a kérdéseket mindig az adott adatkezelő adott adatkezelésénél kell nézni, mert lehetnek olyan intézkedések, amit megtesz az adatkezelő, mely miatt már nem számít személyes adatnak a kezelt információ.
És akkor a ki kicsoda kérdésre visszatérve: adatkezelő az, aki az adatkezelés célját és eszközeit meghatározza, az adatfeldolgozó pedig, aki az adatkezelő nevében kezeli a személyes adatokat.
A könyvelők esetében adatkezelésről akkor beszélhetünk, mikor például szerződést köt a vállalkozóval. Itt a vállalkozó személyes adatainak vonatkozásában a könyvelő adatkezelő lesz.
Ugyanakkor adatfeldolgozóként vehető figyelembe, amikor a vállalkozó által szolgáltatott adatokat, például számlákat feldolgozza. Hiszen ezeket az információkat nem saját nevében, hanem a vállalkozó nevében és utasítására dolgozza fel.
Ez a kettős szerep a legtöbb vállalkozásra jellemző, főleg akik megbízási jogviszonyban látnak el adatfeldolgozási tevékenységet, ők a legtöbb esetben adatkezelők is.
Abban az esetben, ha a könyvelő alkalmaz alvállalkozót, például egy asszisztensi feladatra, távmunkában, az tipikusan az adatfeldolgozási kategória, hiszen nem az asszisztens határozza meg az adatfeldolgozás célját és eszközeit, hanem az adatkezelő utasítására jár el.
A GDPR nem zárja ki, hogy több adatfeldolgozó legyen, de ennek is vannak szabályai, mint például, hogy az adatkezelőt tájékoztatni kell és hozzájárulása szükséges minden adatfeldolgozóra vonatkozóan.
Mivel kell rendelkeznie egy könyvelőirodának a GDPR megfeleléshez?
Az adatfeldolgozásra vonatkozóan természetesen szükséges egy megállapodás a vállalkozóval. A GDPR meghatározza ennek a tartalmát is, ezek közül a legfontosabbak a személyes adatkezeléssel kapcsolatos megállapodás, a felelősségmegosztás és az utasítás joga.
A könyvelőnek nyilvántartást kell vezetnie, nem csak az adatfeldolgozói tevékenységről, hanem adatkezelőiről is. Ez a kettő nem teljesen ugyanaz, adatfeldolgozóként kevésbé szigorú, de sokan elfelejtik, hogy erre is szükség van.
Emellett az adatbiztonsági intézkedéseknek is köteles eleget tenni.
Van-e különbség a papír alapú és az elektronikus adatkezelés között?
A GDPR a papír alapú és az elektronikus adatkezelésre egyaránt vonatkozik, nincs különbség a két típusú adatkezelés között ilyen értelemben. A gyakorlatban vannak eltérések, például a tárolásra, a megsemmisülésre vonatkozóan lehetnek.
Az elektronikus dokumentumok előnye, hogy bármikor visszaállíthatóak, tehát ha biztonsági mentést készít az adatfeldolgozó vagy adatkezelő, akkor ez megoldott, bármikor helyettesíthetőek ezek a dokumentumok. Papír alapon viszont nagyon költséges és nehézkes újra előállítani az esetlegesen pótlásra szoruló dokumentumokat.
Költség tekintetében az elektronikus dokumentumok tárolása hosszú távon sokkal olcsóbb, mint papír alapon ezt megoldani.
Milyen dokumentumok szükségesek a GDPR-nak való megfeleléshez?
A korábban említett megállapodás, tehát a GDPR-re vonatkozó szezrődéses kérdések belekerülhetnek a vállalkozóval kötött szerződésbe, nem kell, hogy külön dokumentum legyen. Emellett az adatkezelésről tájékoztatás szükséges.
A nyilvántartás, amit vezetni kell, mindenkire vonatkozóan egységes, még a tartalmát is meghatározza a GDPR, hogy milyen rovatokat kell tartalmaznia. Adatkezelési kategóriánként kell meghatározni az adatkezelés minden sajátosságát.
Elérhetőek olyan szolgáltatások, melyekkel a GDPR kockázata csökkenthető?
Létezik ilyen, elsősorban szakmai biztosítási szolgáltatás, mely bizonyos mértékben kiterjed az adatkezelésre is, de érdemes megvizsgálni, milyen kockázatokra terjed ki. Az eddig ismert lehetőségek a bírságra nem terjednek ki, pedig az a legfontosabb kockázati tényező.
Gyakori, hogy a könyvelők és ügyfeleik olyan ingyenes megoldásokat használnak a dokumentumok továbbítására, mint például Google Drive, Dropbox vagy hasonló szolgáltatások. Ezeket adatvédelmi szempontból mennyire ajánlott használni?
Sokan nem tudják, de ezek a szolgáltatók az ingyenes megoldások esetében ki is zárják, hogy céges tevékenységre használják őket, ez általában szerepel is a használati feltételekben, hiszen nem vállalnak felelősséget a feltöltött anyagok tárolásáért. Ugyanakkor mivel elérhető bárki számára, lehet használni, de nem érdemes. A GDPR-nak egyáltalán nem tudnak megfelelni, kezdve azzal, hogy az adatfeldolgozási szerződés vagy megállapodás problémája mindenképpen felmerül. Azokat a tartalmi elemeket, amik megfelelhetnének a GDPR-nak, azokat biztosan nem lehet egy ilyen szolgáltatótól megkövetelni egy külön megállapodásban.
A személyes adatok egy ilyen szolgáltatás használata esetén akár harmadik országba is kerülhetnek, ha éppen ott van szabad szerverkapacitása a szolgáltatónak. A GDPR ezzel kapcsolatban többlet követelményeket fogalmaz meg, ennek biztosan nem fog eleget tenni a szolgáltató.
Ráadásul az adatbiztonság és a felelősség kérdése is fölmerül. Ha egy incidens fölmerül, mit várhatok el egy ingyenes szolgáltatótól? Teljesíti-e a GDPR-ban meghatározott kötelezettségeit? Hogyan tud segíteni az incidens bejelentésénél? Valószínűleg ezekre nem tudna válaszolni, így ezek az ingyenes szolgáltatások nem jelentenek megfelelő megoldást a dokumentumok továbbítására.
Az adatbiztonsághoz tartozhat az a kérdés is, hogy milyen szoftvereket használ a könyvelő. Például sokszor előfordul, hogy már nem támogatott windows verzióval dolgoznak. Ez mekkora kockázatot jelent?
Azzal, hogy nem kap frissítéseket egy szoftver, nem lesz védve az újabb károkozók vagy behatolások ellen. Ez azért problémás, mert a GDPR előrírja, hogy a tudomány és technika állásának megfelelő adatbiztonságot kell megvalósítani.
A rendelet figyelembe veszi a költséghatékonyságot is, nem lehet aránytalan, de egy modern operációs rendszer alkalmazása nem jelent aránytalan kiadás. Főleg ahhoz képest, amilyen biztonságot tud nyújtani. Ezért ilyen szinten érdemes követni a technológia állását.
Hasonló megfontolást igényel a vírusirtó és egyéb alkalmazott szoftverek használata is. Nem beszélve arról, hogy a GDPR szerint ez kötelezettségünk is.
