GDPR – könyvelői szemmel

Megint úgy jártunk, mint már annyiszor … bosszankodunk egy adott területen uralkodó anomáliák miatt, majd amikor megjön a szabályozás, akkor kapkodunk, hogy mit is kéne most tenni.

Magánemberként a kéretlen levelek tucatjai, a legváratlanabbul támadó marketingakciók, a személyes felvételek nyilvános helyen való felbukkanása, s számtalan hasonló dolog okoz (okozott) számunkra is bosszúságot.

De ennek már vége (vagy legalább reménykedünk benne).

Itt a GDPR!

A számviteli szakemberek (általában) tisztában vannak vele, hogy saját tevékenységüket a jövőben ebből a szempontból is még átláthatóbban kell megszervezniük, hiszen ők a szolgáltatói minőségükben adatfeldolgozók.

Az adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi.

Az adatfeldolgozás az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.

De számoltunk-e azzal a kérdéssel, mit is jelent ez valójában?

Talán előnyösebb helyzetben vannak azok a könyvelői, illetve bérszámfejtő cégek, akik a tevékenységüket a közelmúltban kezdték meg, hiszen nekik legfeljebb a közelmúlt dolgozói, partneri kapcsolatait, szerződéses kötelezettség-vállalásait és adatállományát kell áttekinteni abból a szempontból, hogy van-e olyan adat, amely érintett lehet a GDPR kérdésében.

A könyvelőirodák nagy része a maximális adatbiztonságra törekszik. Tisztában van mindenki azzal, hogy mekkora károkat eredményezhet egy kóbor vírus, egy elszállt szerver, ha nincs megfelelő mentés, amit pár óra alatt vissza lehet tölteni, s a munkát úgy lehet folytatni, mintha mi sem történt volna. Sőt ennek a rendszernek a megteremtése és folyamatos karbantartása nem kis anyagi áldozatokkal jár, amelyet az ügyfelek bizony sokszor nem igazán akarnak tudomásul venni az árakban. (De ez másik problémakör …)

Az előrelátó könyvelő legalább 3-4 szintű mentéssel rendelkezik. Általában úgy építi (építteti) fel a rendszerét, hogy a mentések közül legyen házon belül 1-2 megoldás (pl.: tükrözés, külső winchester), illetve kerüljenek ki házon kívülre is mentések (pl. rendszergazda céghez, illetve külső adathordozón „hazavitt” mentések, felhőbe történő mentések, stb.)

Ezek az adatállományok vagy csak egy-egy részterületre vonatkoznak, vagy az egész gép vagy szerver teljes tartalmát ölelik fel, s helyileg is ismert vagy csak hozzáférhető helyen vannak.

Szinte lehetetlen dolog a sokszor sok ezer (tízezer, vagy még több) file tételes áttekintése, s annak leszűrése, hogy melyik tartalmaz személyes adatokat.

S hogy miért merült fel ez a probléma?

Egyre több orgánumban (sajtó, tájékoztatók, stb.) képezik az európai polgárokat a tudatos joggyakorlásra. Nincs ez másképp a személyes adataikkal kapcsolatosan sem – sőt a GDPR 2018. május 25-i éles üzemére való felkészülés jegyében egyre több ilyen információforrás lát napvilágot.

„Ha egy szervezet az adatait kezeli, egyértelmű információkkal kell ellátnia önt az adatkezeléssel kapcsolatban, ideértve többek között az alábbiakat:

• milyen célra használják az adatait;
• milyen jogalapon történik az adatkezelés;
• mennyi ideig tárolják az adatait;
• kikkel osztják meg az adatokat;
• milyen alapvető jogai vannak az adatvédelem terén;
• továbbítják-e az adatait az EU-n kívülre;
• joga van panaszt benyújtani;
• hogyan vonhatja vissza a hozzájárulását, ha előzőleg hozzájárult az adatkezeléshez;
• az adatok feldolgozásáért felelős szervezet, és ha van, a szervezet adatvédelmi tisztviselőjének elérhetősége.

Ezeket az információkat egyértelmű és egyszerű nyelven kell megfogalmazni.

A személyes adatok gyűjtésére és kezelésére kizárólag pontosan meghatározott célból kerülhet sor. Adatai gyűjtése során a vállalkozás köteles tájékoztatni önt az adatkezelés céljáról. A vállalkozásoknak biztosítaniuk kell azt is, hogy csak a releváns adatokat kezeljék, valamint hogy az adatokat ne tárolják a szükségesnél hosszabb ideig.”

Forrás: https://ec.europa.eu/commission/sites/beta-political/files/data-protection-overview-citizens_hu.pdf (Egyébként itt érthetően megfogalmazott tájékoztatást lehet a GDPR kérdéséről összegyűjteni!)

A könyvelők már előre rettegnek (a jobbára, de nem csupán a kisvállalkozói körbe tartozó ügyfeleiknek a GDPR kérdésekhez tanúsított hozzáállásából kiindulva) attól, hogy hogyan szeretné majd „átpasszolni” az esetleges fenti kérdése megválaszolását a vállalkozás például egy „tudatos európai polgár” volt alkalmazott ilyen irányú megkeresésénél.

Ez elkerülése érdekében feladat (és a beszámolási időszakba bekalkulálandó időráfordítás):

• a szolgáltató által most, illetve korábban kezelt adatok tárolásának, felhasználásának áttekintése;
• vonatkozó saját szabályzat elkészítése (nem csak adatkezelőként, hanem e tekintetben adatfeldolgozóként);
• a könyvelési, bérszámfejtési szolgáltatás szerződésrendszerének az áttekintése, átdolgozása;
• ügyfelek, partnerek tájékoztatása az esetleges változásokról.

Vissza a bloghoz!