Emlékeztető: itt a GDPR

Dr. Sallai Csilla adatvédelem, GDPR

Bár én csupán emlékeztetőnek szántam ezt az összefoglalót, mostanában azonban egyre többször derül fény arra, hogy komoly vállalkozók és könyvelők még csak nem is hallottak a GDPR-ról vagy mindössze egy vállrándítással elintézik a kérdést, hogy ez úgysem vonatkozik rájuk.

Szerző: Dr. Sallai Csilla - könyvvizsgáló, adószakértő, Magyar Könyvvizsgálói Kamara Könyvelői Tagozatának elnöke

Arra most sincs lehetőség – terjedelmi okok és az érintettség speciális volta miatt –, hogy e téma minden részletét mélyrehatóan elemezzük, de talán sikerül egy rövid áttekintést adni arról, miről is van szó, illetve kik és milyen szinten érintettek az új adatvédelmi szabályozással kapcsolatosan. (Egyszerűen is el lehetne ezt intézni azzal, hogy gyakorlatilag mindenki és mélyen érintett, de ahhoz, hogy ezt belássuk, szükség van némi áttekintésre.)

Azt is jó előre tisztázni, hogy mindenkinek elemi érdeke az új szabályozás tanulmányozása és a szükséges feladatok elvégzése, mert az eddigieknél is jóval magasabb bírság fenyegeti azokat a cégeket, amelyek nem teszik meg a szükséges lépéseket.

Mi a GDPR?

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról. Angol megnevezése és egyben a GDPR rövidítés forrása: General Data Protection Regulation.

Két évvel ezelőtt jelent meg (tehát nem lehet rá mondani, hogy új keletű), de a benne foglaltak alkalmazása 2018. május 25. után válik kötelezővé.

Az európai rendelet, mint jogforrás, közvetlenül érvényes az Európai Unió területén lévő összes jogalanyra. Tehát nem szükséges annak alkalmazásához a nemzeti jogba való beépítés – bár az információtechnológiával kapcsolatosan az utóbbi két évben megjelent jogszabályok már a GDPR elveit követve születtek és még várhatóak további pontosítások más kapcsolódó jogszabályokban, például a számvitel és az adóeljárás terén.

A számviteli szakma az EU joganyagából főleg az irányelveket (pl. áfairányelv, számviteli irányelv) és a EB döntéseit ismeri, használja, de az irányelvek már előzetesen beépülnek a hazai jogszabályokba vagy az EB-döntések utólagosan módosítást indukálnak a vonatkozó hazai szabályozásban. Ezzel szemben az EU rendelet mindenkire vonatkozik, az EU területén működő összes érintettre (függetlenül annak letelepedési országától, egyéb sajátosságaitól, mint pl. nagyság). Talán pontosan ez a tőlünk némileg távoli és szokatlan jogalkotási mód az oka annak, hogy csak most kezdenek eszmélni a vállalkozások (és a könyvelők is). És éppen ezért kell nekünk, számviteli szakembereknek tájékozottnak lennünk, mert – bár előrebocsátom, hogy az ügyfelek jogszabálynak való megfelelésével kapcsolatosan nekünk semmi teendőnk nincs ebben a kérdéskörben – sok esetben az ügyfeleket mi tudjuk tájékoztatni a kötelezettségeikről.

rendezveny
HOGYAN MŰKÖDIK EGY SIKERES KÖNYVELŐIRODA? – konferencia
Könyvelői felelősség, Könyvelői szerződés, Ügyfél átvétele/átadása, Árképzés, Szoftverháttér, Marketing
Időpont: 2018. június 4., hétfő
Előadók: Dr. Sallai Csilla (könyvvizsgáló, adószakértő, MKVK Könyvelői Tagozatának elnöke)

Mi a személyes adat?

Ahhoz, hogy világos legyen az érintetti kör, fontos tisztázni a legfontosabb alapfogalmat – ez pedig a személyes adat.

Személyes adatnak minősül minden, az érintett személlyel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés.

Érintett személynek kell tekinteni bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személyt.

A GYAKORLATBAN MINDEN OLYAN ADAT, INFORMÁCIÓ, AMIBŐL VISSZA LEHET KÖVETKEZTETNI A TERMÉSZETES SZEMÉLYRE.

Tehát itt nem csak a hivatalos okiratokban meglévő adatokat kell érteni (bár ezek száma sem kevés: név, születési név, anyja neve, lakcíme, személyi szám, azonosító iratok száma), a közvetett adatok köre még tágabb – a teljesség igénye nélkül:

  • elérhetőségi adatok: levelezési cím, telefonszám, mail-címek;
  • a különböző csoportokhoz való tartozások adatai: levelezőrendszerek, feliratkozások, kommunikációs csoportok, klubtagságok stb.;
  • tevékenységgel kapcsolatos adatok: végzettségi adatok, igazoló oklevelek beazonosítása, munkakapcsolatok stb.

Ehhez kapcsolódnak a különleges adatok, amelyek

  • a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adatok; illetve
  • az egészségi állapotra, a kóros szenvedélyre vonatkozó, valamint a bűnügyi személyes adatok.

A különleges adatokhoz még szigorúbb szabályok társulnak.

Kire vonatkozik a GDPR?

A rendelet kiterjed minden szervezetre, jogi személyiséggel bíró vagy a nélküli vállalkozásra – gyakorlatilag függetlenül annak nagyságától, tevékenységétől, szervezeti formájától. Bár van a kkv-szektorra mentesítő szabály, de ez a gyakorlatban kivitelezhetetlen. (Ennek okát majd a későbbiekben látni fogjuk.)

A GDPR alanyává válik egy cég, ha a fenti adatokból, információkból akár egyetlen egyet is a tevékenysége során kezelt, kezel, vagy olyan rendszert épít ki, amelyben kezelni fogja. Így ADATKEZELŐ-vé válik.

A teljesség igénye nélkül azok a területek, ahol a szervezetek adatkezelést végeznek:

  • alkalmazottak, foglalkoztatottak nyilvántartása;
  • szervezet tagságának nyilvántartása;
  • munkatársak közlekedésének nyomon követése;
  • vevőkörében, megrendelői között, szállítási címeiben természetes személyek adatai is előfordulnak;
  • webáruház üzemeltetése;
  • honlap üzemeltetése, ahová valaki személyes bejelentkezés útján regisztrálhat;
  • honlapján ún. cookie-k (sütik) kezelése;
  • marketinganyagok küldéséhez tartozó címjegyzék megszerzése, tárolása, kezelése;
  • természetes beazonosítást is tartalmazó (név) mail-címek tárolása;
  • eseményekről, akciókról készített felvételek (fényképek, filmek) tárolása;
  • természetes személyeket összehozó, közvetítő rendszerek működtetése;
  • bármilyen kamera-, beléptető vagy megfigyelő rendszer működtetése stb.

S azt is tisztán kell látni, hogy annak ellenére, hogy itt jellemzően „cégről” beszélünk, ide tartozik mindenki, aki a fenti tevékenységekben érintett lehet, úgy mint

  • a vállalkozások, gazdasági társaságok;
  • az egyéb szervezetek, azaz a teljes civil szféra, vagyis az alapítványok, egyesületek, stb.;
  • a különféle céllal személyeket egyesítő szervezetek, azaz a pártok, egyházak, közműtársaságok;
  • az egyéni vállalkozók;
  • a társasházak.

Melyek azok a személyes adatok, amelyekre nem is gondolnánk?

Amióta én is nagyobb figyelemmel követem ezt a kérdést, és gyakran beszélek ezen a területen működő szakemberekkel, sorra jönnek elő az olyan érintett területek, amikre az ember nem is gondolna. Ezek közül itt felsorolok néhányat azért, hogy lássuk, milyen széles spektrumban kell gondolkodni akkor, amikor az érintetti kört szeretnénk feltérképezni.

A cégeken belül előforduló ilyen területek:

  • a magánszemély által vezetett útnyilvántartásban szereplő adatok;
  • minden olyan adat, amely a cégben megjelenik és vissza lehet fejteni belőle a dolgozó kilétét;
  • a betegpapírokon szereplő betegségre utaló kódok;
  • a telefonban tárolt nevek, címek és telefonszámok, az azokról készült listák és mentések;
  • a névjegykártyatartóban lévő kártyák adatai;
  • a biztonsági kamera által rögzített videófelvétel;
  • a céges bulin készített fotók és videók;
  • a különféle közösségi médiaeszközökön vagy -csoportokban való megjelenés.

A cégek profiljából néhány érdekesség:

  • étel- és árukiszállításnál a nevek és címek;
  • a taxisok név- és címregisztrálása;
  • az egészségügyben kezelt adatok;
  • a fodrászok, kozmetikusok címjegyzékei;
  • a temetkezési vállalkozásoknál kezelt adatok;
  • a szállodák vendégnyilvántartása;
  • az újságok előfizetői adatbázisa;
  • a társasház lakóközösségének nyilvántartása;
  • az oktatási intézmények (bölcsődék, óvodák, iskolák) nyilvántartásai.

Nem venném el a tartalomtól a helyet, de talán a fenti felsorolás is jól szemlélteti a kérdés fontosságát.

GDPR Kézikönyv 2018 (szakkönyv)
Új Európai Uniós Adatvédelmi Szabályozás
Szerző: Dr. Bölcskei Krisztián (jogász, vezető adatvédelmi tanácsadó, Adatvédelmi Auditor Cégcsoport)

Miért érdekes ez az adatkezelőknek?

Az EU rendelet alapvető célja, hogy a magánszemélyeknek nagyobb betekintést és jogokat ad az adataik kezelésével kapcsolatban. Ez biztosíthatja és az eddigiekhez képest növelheti a személyes adatok kezelésének az átláthatóságát.

Azt is tisztán kell azonban látni, hogy a cégek ez irányú kötelezettségeit növeli az új szabályozás! A mulasztásokat pedig minden eddiginél nagyobb pénzbüntetéssel sújtja.

Lehet, hogy a hétköznapi életben a cégekre nehezedő nyilvántartási többletkötelezettség és többletmunka nem minden esetben van arányban az érintett magánszemélyeknek az adataik kezelésével kapcsolatos elvárásaival… Mindenesetre a rendeletalkotók erre nem voltak tekintettel a szabályozás során, hiszen sok esetben a magánszemélyek az adataikat a saját érdekükben és személyes céljaik megvalósítása végett önként adják meg. Egy biztos, hogy az adatokat kezelő cég számára sem mindegy, milyen rend van nála, s ebbe a rendbe az adatok kezelése is beletartozik.

Mely információkkal kell ellátnia a szervezetnek a természetes személyeket?

A cégeket

  • egyrészről előzetes tájékoztatási kötelezettség terheli,
  • másrészről – igény szerint – biztosítaniuk kell tudni a szükséges információkat a természetes személyeknek a saját adataikra vonatkozóan.

Ennek keretében tájékoztatni kell a természetes személyeket az alábbiakról:

  • milyen célra használják az adatait;
  • milyen jogalapon történik az adatkezelés;
  • mennyi ideig tárolják az adatait;
  • kikkel osztják meg az adatokat;
  • milyen alapvető jogai vannak az adatvédelem terén;
  • továbbítják-e az adatait az EU-n kívülre;
  • joga van panaszt benyújtani;
  • hogyan vonhatja vissza a hozzájárulását, ha előzőleg hozzájárult az adatkezeléshez;
  • tájékoztatás az adatok feldolgozásáért felelős szervezetről, és ha van, a szervezet adatvédelmi tisztviselőjének elérhetőségéről.

Mi történik, ha az adatkezelő átadja további feldolgozásra a nála lévő természetes személy adatait (pl. könyvelő, bérszámfejtő, futárszolgálat) vagy olyan rendszert működtet, amely révén mások is ráláthatnak a nála lévő személyes adatokra (pl. rendszergazda, iratok bértárolását végző cég)?

Ezek a külső szolgáltatók az ADATFELDOLGOZÓK.

Az adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.

Az adatfeldolgozás az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik.

ADATFELDOLGOZÁS CSAK garanciális kötelezettség mellett végezhető!

„Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.” [28. cikk (1)].

Az adatfeldolgozó által nyújtott megfelelő garancia lehet:

  • ha szerződéskötéskor bemutatja az adatkezelőnek az adatfeldolgozási rendszerét – átláthatóság;
  • a szakértelem, a megbízhatóság és az erőforrások megfelelő alkalmazásának alátámasztása;
  • a tanúsítási mechanizmus vagy kódex – szakmai szervezetek által kidolgozandó normarendszer.

(Ez utóbbi még várat magára a mi területünkön…)

Az adatfeldolgozóknak (könyvelő, bérszámfejtő, IT szolgáltató, rendszergazda stb.) 2018. május 25-től az adatfeldolgozási szerződést (vagy meglévő szerződés mellé kiegészítést) kell kötni a megbízóval, amely tartalmazza a szükséges garanciákat. (Jelzem, ez sem új dolog, hiszen ma már a könyvelők egy jelentős része olyan ÁSZF-fel dolgozik, aminek része a garanciák bemutatása!)

Melyek lesznek az adatfeldolgozó szerződésének kötelező elemei a GDPR vonatkozásában?

Minden adatfeldolgozónak, így a könyvelőnek is az alábbi elemeket kell beépítenie a szerződésbe:

  • az adatfeldolgozó megnevezése,
  • az adatfeldolgozás tárgya,
  • az adatkezelés időtartama,
  • az adatkezelés jellege és célja,
  • a személyes adatok típusa és az érintettek kategóriái,
  • az adatkezelő jogai és kötelezettségei,
  • az adatfeldolgozó jogai és kötelezettségei:
    • utasítási jog,
    • titoktartás,
    • adatbiztonság,
    • további adatfeldolgozó igénybevétele,
    • együttműködés az adatkezelővel,
  • az adatok, bizonylatok visszaszolgáltatása a szerződés fennállása alatt,
  • eljárás a szerződés megszűnésekor.

Ezek az adatok részben eddig is benne voltak a könyvelői szerződésben, de most ezeket az adatkezelés oldaláról kell kifejteni.

Mi a különbség az adatkezelő és az adatfeldolgozó között?

Adatkezelő Adatfeldolgozó
Saját nevében jár el. Az adatkezelő nevében jár el.
Önállóan dönt az adatok sorsáról. NEM önállóan dönt az adatok sorsáról.
Meghatározza az adatkezelés célját. Technikai feladatokat és utasításokat hajt végre.
Legtöbbször szervezetileg önálló vagy elkülönült.
A könyvelőiroda a saját természetes személyre vonatkozó adatai tekintetében adatkezelő. A könyvelőiroda az ügyfelei természetes személyekre vonatkozó adatai tekintetében adatfeldolgozó.

 

Mi az adatvagyon?

Minden adatkezelőnek össze kell állítania egy leltárt a saját maga által kezel adatvagyonról. Ez az adatvagyonleltár. Ennek keretében számba kell venni, hogy milyen személyes adatokat kezel a múltban, a jelenben, illetve a tervezhető jövőben.

Aki egy személyben adatkezelő és adatfeldolgozó is, annak úgy kell számba venni az adatait, hogy az adatvagyonnal kapcsolatosan

  • melyeknél adatkezelő (pl. saját dolgozók adatai), illetve
  • melyeknél adatfeldolgozó (ügyfelek adatai).

Fel kell mérni, össze kell állítani, rögzíteni kell (2018. május 25-ig!) az adatkezelőnél lévő személyes adatokkal kapcsolatosan az alábbiakat:

  • Adatkezelő vagy adatfeldolgozói minőségben jut a természetes személy adataihoz?
  • Adatgazda személye, adatkezelő és adatfeldolgozó elérhetősége.
  • Jogalapok, amelyek alapján az adatok nála vannak.
  • Célok, amelyekkel kezeli vagy feldolgozza a személyes adatokat.
  • Adatfeldolgozók bevonása, ennek módja, az érintettek köre, s azok garanciái.
  • Tervezett tárolási idők – meddig van nála a személyes adat?
  • Tárolás módja – papír alapon, elektronikusan, illetve helyileg hol vannak ezek a személyes adatok?
  • Milyen folyamatokban vesz részt az adat, ehhez milyen keretek, jogosultságok párosulnak?
  • Védelmi intézkedések, amelyek biztosítják a személyes adatok biztonságát (illetéktelen kezébe ne jusson, maradjon meg addig, amíg kell).
  • Incidens definiálása – milyen esetek lehetségesek, amikor sérülhet vagy illetéktelen kezébe kerülhet a személyes adat?
  • A megsemmisítés módja.

Az adatvagyont folyamatosan kezelni kell?

Az adatvagyont naprakészen kell tartani. A felmérés időpontjában felvett állapothoz képest történt változásokat folyamatosan nyomon kell követni és e változásokat a nyilvántartásokban rögzíteni kell.

Ennek keretében minden adatkezelőnek a saját adatkezelési tevékenységéről nyilvántartást kell vezetnie, amely tartalmazza:

  • az adatkezelő nevét és elérhetőségét;
  • az adatkezelés céljait;
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetését;
  • az olyan címzettek kategóriáit, akikkel a személyes adatokat közlik vagy közölni fogják;
  • ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidőket;
  • ha lehetséges, a technikai és szervezési intézkedések általános leírását.

Hogyan lehet számba venni a cégnél lévő természetes személyekre vonatkozó adatokat?

Legegyszerűbb a céges folyamatokat áttekinteni és megnézni, hol érintettek abban személyes adatok. Ennek áttekintésénél valamilyen szisztémát, csoportosítást célszerű követni, mint például:

  • üzleti folyamatok,
  • levelezés,
  • weboldal,
  • HR,
  • archiválás.

Ezzel párhuzamosan célszerű sorba venni a helyeket, ahol fizikálisan a személyes adatok előfordulnak.

  • Elektronikus formában:
    • szerveren,
    • egyedi számítógépeken,
    • idegen helyen (felhőben),
    • telefonokon, táblagépeken stb.
  • Papír formában:
    • irattárakban,
    • munkaállomásokon,
    • idegen helyen,
    • gépjárművekben stb.
  • Egyéb formában.

Milyen jogalappal rendelkezhet az adatkezelő vagy az adatfeldolgozó az adattal kapcsolatosan?

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

  • az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Az adatkezelés jogszerűségénél a leggyakoribb indok a jogi kötelezettség. Tehát, ha valamilyen jogszabály személyes adatok nyilvántartását, megőrzését írja elő, akkor a jogszabályt be kell tartani, s ez a jogalap arra, hogy akár a jogviszony megszűnése után sem kell (nem szabad) az adatokat törölni, likvidálni. Gondoljunk csak a bérekkel és munkaüggyel kapcsolatos személyes adatok kezelésére, ahol a jogszabályok 50 éves megőrzési kötelezettséget írnek elő. E hosszú idejű kezelés jogalapja a jogszabály, s így a GDPR szempontjából is jogszerű adatőrzésről van szó.

Ha az adatkezelő valamely adat kezelésénél a jogos érdekeinek érvényesítésére hivatkozik (pl. kamerarendszer alkalmazása a cégénél), akkor mi alapján mérlegeljen?

Erre szolgál az érdekmérlegelési teszt, amely széles skálán biztosítja az adatkezelés jogalapját. Ennek síkjai:

  1. Az adatkezelő jogszerűségének értékelése
  1. Alapvető jogok
  2. Szélesebb közérdek

III. Egyéb jogszerű érdek

  1. Érdek kulturális, társadalmi elismertsége
  1. Az érintettekre gyakorolt hatás értékelése során kiemelt tényezők
  1. Az adatok jellege, azok nyilvánossága
  2. Az adatkezelés módja

VII. Az érintett észszerű elvárásai

VIII. Az adatkezelő és az érintett státusza

  1. Ideiglenes mérlegelés
  2. Kiegészítő biztosítékok (mennyiségi korlátozás, azonnali törlés, funkcionális szétválasztás, növelt átláthatóság stb.)

Az adatkezelés kockázatát is fel kell mérni!

A cégeknek az összeállításnál ki kell mutatniuk, hogy hol és milyen kockázatok rejlenek a cégnél az adatkezelésben. Ennek eszköze az adatáramlási térkép.

A kockázatok több oldalról jöhetnek, ezeket együttesen kell mérlegelni. A kockázatok helyes felmérése és értékelése alapot adhat arra is, hogy megváltoztassák a cégnél rosszul működő eljárásokat, módszereket. A leggyakoribb kockázatok, amelyek az adatok sérülékenységére hatnak:

  • technológiai oldalról – kommunikációs vonalak,
  • kiszolgálói oldalról – helyettesíthetőség,
  • humán oldalról – szándékos vagy tudatlanságból eredő károkozás,
  • egyedi szoftverek, eljárások kockázatai,
  • vírusvédelem, mentési rendszerek, archiválási rendszerek védelme,

A kockázatfelmérésben a kockázati szinteket az előfordulás valószínűségével célszerű összevetni:

  • „alacsony – közepes – magas” kockázatot hordozó esemény vagy hatás
  • „ritka – néha – gyakori – állandó” előfordulás, fennállás.

Milyen adatbiztonsági kockázatokat rejt az IT?

Könyvelőként az ügyfelekre vonatkozóan ezt – általában – nem tudjuk felmérni, erre nem tudunk választ adni.

A könyvelőiroda mint adatfeldolgozó szempontjából nagy jelentőséggel bírnak:

  • az adatfeldolgozásnál alkalmazott technológiák (pl. szoftverek),
  • az adattárolás helye, módszere (helyi, idegen helyen, felhőben),
  • a mentési rendszerek, ezek biztonsága (mentési helyek, szintek száma, technológiai biztonsága),
  • a behatolás-mentesség, a vírusvédelem stb.

Ezekre vonatkozóan a rendszergazda, mint a könyvelőiroda adataira vonatkozó adatfeldolgozó ad (adjon!) garanciát a könyvelőnek.

Milyen feladatai vannak az adatkezelőknek 2018. május 25-ig?

  • Az adatkezelési folyamatok áttekintése, szabályozása – adatáramlási térkép összeállítása
  • Adatvagyon összeállítása
  • Adatkezelési szabályzat készítése
  • Adatkezelési tájékoztató készítése
  • Saját (vállalkozási, megbízási) szerződések, ÁSZF átdolgozása
  • Igénybe vett adatfeldolgozók szerződéseinek átdolgoz(tat)ása
  • A munkaszerződésekbe bele kell építeni az adatkezelési szabályok betartását és érvényesítését,
    • új munkavállalónál az új szabályok szerint,
    • régi munkavállalóknál a munkaszerződés módosításával.
  • A munkavállalók részére külön képzés szervezése
  • Adatbiztonsági intézkedések felülvizsgálata, változtatások megtétele

Kinek a feladata a GDPR szabályoknak való megfelelés biztosítása?

Egyértelműen az adott társaság ügyvezetőjének a feladata, mert

  • ő felelős az egész gazdálkodásért és a cégre vonatkozó jogszabályok betartásáért (ez a felelősség nem átruházható!);
  • ő van a megfelelő információ birtokában a cégben folyó természetes és információs folyamatokról.

Megfelelő információbiztonsági szakértő igénybevétele ajánlott!

A külső szakértői díjak ár-érték arányát sok esetben nehéz megítélni, ezért célszerű a cég bonyolultságát, információs folyamatainak számát, összetettségét figyelembe venni.

Senki ne higgye, hogy önmagában egy interneten „kóborló” szabályzatminta letöltése elégséges a kötelezettségek teljesítéséhez! A mintaszabályzatokat testre kell szabni, ami még komoly munka és idő!

A közkézen forgó, illetve kapható szabályozások között hatalmas minőségi különbségek vannak! (Szakemberek minősítése szerint 10 és 95% közötti alkalmazhatósági és megfelelési értékek között mozognak.) Ezért, kellő ismerettel kell ezeket kézbe venni! Mindig a „tiszta forráshoz”, azaz az eredeti rendelethez célszerű visszanyúlni.

A vállalkozások GDPR szabályozása alapvetően nem tartozik a könyvelés feladatkörébe. Ez akkor is igaz, ha a cég vezetése nem érzi magát elég kompetensnek az adatkezelési kérdésekben, illetve a könyvelő szeretne segíteni ügyfelének vagy minél szélesebb szolgáltatási palettát szeretne az ügyfelének nyújtani.

Egy adott cég kiszervezett könyvelésénél a könyvelő mint adatfeldolgozó jár el, így csak azokat a folyamatokat ismeri és azokra tud hatni, amelyek a személyes adatok könyvelésre való megérkezése és onnan történő visszaszolgáltatása között vannak. A cégen belüli folyamatok feltérképezése és szabályozása nem a könyvelő feladata, mert ehhez

  • nincs meg a megfelelő szakmai ismerete,
  • nincs rálátása,
  • nincs hozzá megfelelő munkamódszertana.

Milyen kockázatokkal és szankciókkal járhat a GDPR szabályozás nem megfelelő volta?

Információtudatos természetes személyek (pl. munkavállalók, üzleti partnerek, volt hírlevéltagok) kérhetik, hogy a cég mutassa be a szabályozását, illetve bizonyítsa, hogy érdekmúlás esetén az adatai az adott szervezetben vagy adatfeldolgozónál ténylegesen törlésre kerültek-e.

Az adatkezelési alapelvek (jószerűség, tisztességes eljárás, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg) mellett figyelemmel kell lenni az elszámoltathatóság elvére is. Ennek értelmében az adatkezelő felelős az előbbi elveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására. Ez azt jelenti, hogy egy ellenőrzés során nem a hatóságnak kell bizonyítania a jogsértést, hanem az adatkezelőnek kell igazolnia a GDPR rendeletnek való megfelelést! (Ez a bizonyítási eljárás hasonló az az adózási viszonyokhoz!)

A GDPR be nem tartása súlyos bírságot is maga után vonhat, amelynek maximuma 20 millió euró (lévén EU-s jogszabály, a bírság mértéke is euróban van megállapítva) vagy vállalatcsoport esetében a világviszonylatú árbevétel 4%-a.

Az adatvédelmi hatóság eddig is rendszeresen élt a bírságolással, ezután sem lehet ez másképp. Célszerű tehát olyan rendszert kialakítani, amely nem ad alapot sem a rosszhiszemű adatszámonkérésekre, sem a bírságolásra.

A bírságtól való félelmen túl a megfelelő szabályozás számos olyan hatékonyságnövelő és/vagy biztonságnövelő eljárás bevezetését teszi lehetővé, amelyek haszna előbb-utóbb megtérül. Az e területekre is kiterjedő tudatos vezetői szemlélet további eredményeket hozhat.