Adatvédelem: könyvelőirodát bírságolt a NAIH

dr. Kéri Ádám ügyvéd, adatvédelmi tisztviselő

2020.06.09., 12:41 Frissítve: 2020.06.10., 10:11

Tetszik

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felügyeleti hatóságként bejelentést kapott arra vonatkozóan, hogy a bejelentő birtokába került egy magánszemélyek és vállalkozások könyvelési adatait tartalmazó lista, melyet más papírszemetekkel együtt "fújt hozzá a szél". A felügyeleti hatóság a könyvelőtársaságot beazonosította, a bejelentést kivizsgálta, és 500 ezer forint adatvédelmi bírságot szabott ki. Cikkünkben a vizsgálat tanulságaira mutatunk rá.

Lementjük és lefűzzük: praktikus megfontolások alapján működött a könyvelő

A hatósági vizsgálat során a könyvelőtársaság elismerte, hogy a kérdéses listában ügyfeleihez tartozó személyes adatok találhatók. A papíralapú listán lévő adatok kezelésének céljaként arra hivatkozott, hogy az a társaság és ügyfelei között létrejött számviteli, könyvvizsgálói és adószakértői tevékenységre irányuló szerződésekben foglalt kötelezettségek teljesítése, illetve az ügyfelekkel való kapcsolattartás. Úgy érvelt, hogy ezeket az adatokat a társaság ügyfelei önként hozzák a társaság tudomására, az egyes megbízási szerződések aláírása során a hozzájárulásukat is adják az adatok ilyen célú kezeléséhez.

A lista adatait a társaság folyamatosan frissíti. A frissítés során a listát egy példányban kinyomtatják, azon a nyomtatás dátumát kézírással rögzítik, és a többi listával együtt, időrendben lefűzve egy elzárt mappában őrzik. Erre a későbbi esetleges adatellenőrzésekre tekintettel van szükség. Ha véletlenül további példányokat is kinyomtatnának, azokat iratmegsemmisítővel kell „ledarálni”.

Az adatok tárolása vonatkozásában a társaság képviselője elmondta, hogy a személyes adatokat az iroda saját szerverén tárolja, amelyhez kizárólag az alkalmazottak és az IT-feladatok ellátásával megbízott személy férhetnek hozzá. A tárhely egyebekben jelszóval is védett.

Az irodának kilenc alkalmazottja van, az adatbázishoz történő hozzáféréseket azonban nem naplózták, jelszókövetelmény-rendszert nem alakítottak ki, a könyvelőtársaság információbiztonsági szabályzattal nem rendelkezett.

OLVASSA TOVÁBB cikkünket, amelyből megtudhatja, milyen lépéseket tett az adatvédelmi hatóság, és milyen hibákat követett el a könyvelőiroda!

A folytatáshoz előfizetés szükséges.
A teljes cikket előfizetőink és 14 napos próba-előfizetőink olvashatják el! Emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.