Könyvelővállalkozás: tényleg nem kell adatvédelmi szabályzat?

Megosztás Tetszik

Egyik írásunk alapján az Adózóna olvasója arra a következtetésre jutott, hogy a könyvelővállalkozásnak nem kell adatvédelmi szabályzat. Valóban így van? – kérdezte szakértőnktől. Dr. Kéri Ádám ügyvéd válaszolt.

A kérdés így szólt: "Konkrét kérdésem az ön írásából olvasom ki, amelynek címe: »Adatkezelés vagy adatfeldolgozás?«. A »Jogok és kötelezettségek« zárógondolatok között van, hogy az adatfeldolgozónak csupán belső nyilvántartást kell készítenie, ez például praktikusan egy excel-tábla. Ez azt jelenti, hogy semmiféle más nyilvántartás nem kell. De mi van, ha van alkalmazottja, akkor meg kellene? A másik kérdés az érdekmérlegelési teszt a videókamerához. Többször átolvasva a GDPR-t, ilyen szót nem találok benne sehol. Akkor mi a teendő?"

SZAKÉRTŐNK VÁLASZA:

Az adatkezelő-adatfeldolgozó viszonyrendszer összetett kérdés. A könyvelővállalkozás a szerződött ügyfelei vonatkozásában jellemzően adatfeldolgozói minőségben jár el, így e tekintetben adatfeldolgozói szerződéssel (GDPR 28. cikk), illetve belső adatfeldolgozói nyilvántartással kell rendelkeznie. Ez utóbbi lényegében azt mutatja be, hogy kinek a nevében milyen feladatokat lát el. Azt meg kell vizsgálni, hogy szükséges-e adatvédelmi tisztviselő kijelölése egy adatfeldolgozónak, de jellemzően erre a válasz nemleges.

Ettől függetlenül, a vállalkozás maga adatkezelőként működik például a munkavállalói vonatkozásában. Ez ugyanis egy másik, külön minősége.

Említek egy példát az érthetőség kedvéért:

A fejvadász az őt megbízó céggel közös adatkezelő a fejvadász által megkeresett jelölt vonatkozásában. A fejvadász cég ugyanakkor az alkalmazottai vonatkozásában adatkezelő, de akkor is adatkezelő, amikor egyéni vállalkozóval (más jellegű ügyfél) leszerződik beszerzésekre vagy rendszergazdai feladat elvégzésére. Adatkezelőként adatkezelési tájékoztatóval, adatkezelői belső nyilvántartással kell rendelkeznie, illetve a GDPR összes kötelezettségének a fennállása vizsgálandó.

Ami az elektronikus megfigyelőrendszer működését illeti, annak jogalapja a GDPR 6. cikke szerinti jogos érdek. Személyes adat ugyanis akkor is kezelhető, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Annak megállapítása, hogy kinek az érdeke képez elsőbbséget, nem lehetséges úgynevezett érdekmérlegelési teszt nélkül. Erre nézve egyértelmű állásfoglalást talál a WP29 jogos érdekről alkotott állásfoglalásában, a NAIH döntéseiben, illetve a NAIH 2016. évben a munkahelyi adatkezelésekkel összefüggésben elfogadott iránymutatásában. Ez egy jogi alapelv, ami közvetlenül következik a normaszövegből, legfeljebb az elnevezése zavaró kissé.