Adatvédelmi kötelezettségek könyvelőknél

Megosztás Tetszik

Egy kis könyvelőiroda köteles-e bejelentkezni a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, kell-e készítenie felmérést, szabályzatot stb.? – kérdezte olvasónk. Dr. Kéri Ádám ügyvéd válaszolt.

A kérdés kokrétan így szólt: "Egy kis könyvelőirodát vezetek, én vagyok az ügyvezető és egy alkalmazott van, mindketten részmunkaidőben dolgozunk. Ügyfeleim kis kft.-k, bt.-k, egyéni vállalkozók. Ahány helyen olvastam, hogy köteles vagyok-e bejelentkezni a NAIH-hoz, csinálnom kell-e a felmérést, szabályzatot meg mindent, annyiszor más infó jött le nekem. Kérem segítségét, hogy mit kell tennem? Mit mondhatok a kicsi cégeknek, hogy rájuk mi vonatkozik? Azt mondják, hogy mindenki csak rengeteg pénzért ajánlgatja nekik a szolgáltatásait."

SZAKÉRTŐNK VÁLASZA:

A helyzet az, hogy amit a kérdésében leírt, pontosan jellemzi a piacot. Ennek azonban konkrét okai vannak.

Elsőként is 2018. május 25. napján hatályba fog lépni a 2016/679. EU Rendelet (GDPR), mely alapvetően eltérő szabályozási alapokra helyezi az adatvédelem területét. Az eddigi tagállami, ún. tételes jogi szabályozás helyett bevezetésre kerül az esetjogi alapokra épülő közösségi jog.

Ez önmagában nem probléma, mivel meggyőződésem szerint a szabályozás gyakorlatiasabbá fog válni. A gond abban jelentkezik, hogy jelenleg hatályban van egy eltérő koncepcióra épülő Info tv., illetve számos ágazati szabály, melyek viszonya a GDPR-hoz nem világos. Elvben szembe nem mehetnek a rendelettel, kérdés, hogy mely ellentmondás kiegészítő jellegű szabályozás, és mely érvénytelennek minősülő szembenálló szabályozás.

A fentiek alapján érthető, hogy a GDPR területével kevesen ápolnak közeli szakmai kapcsolatot, habár minden ügyvédi irodát és jogászt foglalkoztat a téma. A szabályozás azonban kifejezetten összetett, magyar nyelvű értelmező anyagok pedig nem állnak rendelkezésre. Ebből született meg az olvasó által vázolt helyzet.

Ami a kérdéseit illeti, igyekszem röviden összefoglalni:

Az adatkezelési tevékenységek nyilvántartására a GDPR 30. §-a alapján szüksége lesz minden adatkezelőnek, így a kérdezőnek és ügyfeleinek is. Belső nyilvántartásféleség eddig is létezett, ennek egy részét be is kellett jelenteni a NAIH-hoz. A nyilvántartás egy táblázatos összefoglaló valamennyi adatkezelésről, illetve azok részleteiről.

Egyéb nyilvántartásokra is szükség lesz. A legfontosabb az incidensnyilvántartás, melyről a GDPR közvetlenül is rendelkezik az adatvédelmi incidensekkel összefüggésben.

A NAIH-hoz 2018. május 24. napjáig be kell jelentkezni, amennyiben az adatkezelést az Info.tv. alapján be kell jelenteni. Ebben az Info tv. 65. §-a adhat támpontot.

Itt is rá kell mutatni azonban egy változásra, mivel május 25. napjával a GDPR alapján már feltehetőleg nem lesz bejelentési kötelezettség. A GDPR nem írja elő, az Info tv. azóta visszavont módosítási tervezetében pedig nem szerepelt. Főszabályként a munkaviszonnyal, ügyféli jogviszonnyal kapcsolatos, nem reklámcélú adatkezeléseket nem kell bejelenteni most sem.

Ezen túlmenően valamennyi adatkezeléssel és azok érintetti körével összefüggésben tájékoztatókat, szabályzatokat kell készíteni, illetve felül kell vizsgálni a meglévőket. Az egyes tájékoztatók ugyanis jogalaponként el fognak térni. Másként kezeljük az ügyféladatokat, a szerződéses partnerek adatait, a  bérszámfejtési adatokat és a munkavállalók adatait.

Kellhet továbbá hatásvizsgálatot is végezni, amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár. Itt azon adatkezelőkre kell gondolni elsősorban, amelyek büntetőjogi vagy a GDPR 9.cikke szerinti  különleges adatokat kezelnek.

Hasonló feltételekkel a GDPR 37. cikke alapján szükség lehet adatvédelmi tisztségviselő kijelölésére is.

A GDPR alapján nem kell nagyméretűnek tekinteni az adatkezeléseket, és így mentesülni lehet a hatásvizsgálat, valamint az adatvédelmi tisztségviselő kijelölése alól, amennyiben a személyes adatok kezelésére egy egyszemélyes vállalkozó praxisában kerül sor. A Bizottság azonban jó gyakorlatként ilyen esetekben is ajánlja az előírások önkéntes követését.

Végezetül valóban rengeteg pénzért kínálgatják szolgáltatásaikat a GDPR "szakértők", nagyobb baj azonban az, hogy akik a területhez ténylegesen értenek, nem rendelkeznek már szabad kapacitással (sokan a karácsonyi ünnepek alatt is ezzel foglalkoztunk). A pénzintézetek, biztosítók, kórházak stb. ugyanis a kapacitásokat elszívják, hiszen ott a kockázatok is magasabbak és a munka is jövedelmezőbb.

Reménykedni kell abban, hogy a jogalkotó élni fog a kkv-k vonatkozásában a derogáció lehetőségével, és bizonyos könnyítéseket enged. Az Info tv. módosítása azonban csak a GDPR hatályba lépését követően várható, a választások után.