250-nél kevesebb dolgozó a cégnél: kell-e adatvédelmi nyilvántartás?

adozona.hu

2018.09.29., 06:15 Frissítve: 2018.09.28., 17:24

Tetszik

Köteles-e adatvédelmi nyilvántartás vezetésére a 250 főnél kevesebb munkavállalói létszámmal rendelkező cég? – kérdezte az Adózóna olvasója. Antretter Erzsébet szenior menedzser, a Niveus Consulting Group szakértője válaszolt.

A kérdés konkrétan így szólt: "250 főnél kevesebb munkavállalói létszámmal rendelkező cég vagyunk, ha jól tudom, nem kötelezettek adatvédelmi nyilvántartásra, de nekünk is ajánlott, mivel a dolgozó kérésére igazolást kell adni, hogy hová továbbítottuk az adatait. A bérszámfejtés cégen belül történik, de a 08-as havi bevallásokat és a T1041-es ki-bejelentéseket könyvelő cég végzi. Kell-e nyilvántartásban szerepeltetni a T1041-es jelentéseket, mivel ezekre törvény kötelez bennünket, vagy a bíróság felé továbbított adatokat, ami megint csak kötelező részünkről?"

SZAKÉRTŐNK VÁLASZA:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 Rendelet (a továbbiakban: GDPR) 30. cikkének (5) pontja alapján, ha egy cég 250 fő alatti létszámmal rendelkezik, akkor ez önmagában még nem mentesíti a nyilvántartási kötelezettség alól. A mentesüléshez többek között az is szükséges, hogy az adatkezelések alkalmi jellegűek legyenek.

A hatályos jogszabályi értelmezés és gyakorlat alapján a fenti feltételnek nagyon kevés cég tud megfelelni, mivel amennyiben akár 1 munkavállaló adatát is kezeli, az már nem minősül alkalmi jellegűnek, így a szabályzat készítése kötelező.

A GDPR 30. cikk (1) d) pontja alapján a szabályzat kötelező eleme az olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják. A GDPR 4. cikk 9. pontja alapján címzettnek minősül a közhatalmi szerv is, amellyel a személyes adatot közlik.

A fentiek alapján a szabályzatban mindenképpen javasolt feltüntetni, hogy a bérszámfejtéshez szükséges személyes adatok hatóság/bíróság részére kerülnek továbbításra.

Mivel a könyvelő cég adja be a bevallásokat, ő a személyes adatokhoz hozzáfér, vagyis őt is javasolt címzettként szerepeltetni. Továbbá, a könyvelő cég a kérdésben szereplő információl alapján ún. adatfeldolgozónak fog minősülni, így vele adatfeldolgozói szerződés megkötése indokolt.

Továbbá, a szabályzaton túl a GDPR 13. cikkében nevesített adatkezelési tájékoztatókkal is kötelezően rendelkezniük kell, amelyet az érintettekkel (így többek között a munkavállalókkal) még a személyes adataik megadása előtt kötelezően meg kell ismertetniük.

Fontos, hogy a szabályzatokat/tájékoztatókat adatkezelési tevékenységenként kell elkészíteni, így például munkavállalók tekintetében nem csak a bérszámfejtés kapcsán merülhet fel személyes adatok kezelése, hanem például riasztórendszerrel, GPS-szel, kamerával, parkolóhellyel, céges eszközökkel, oktatásokkal stb. kapcsolatosan is, illetve egyéb érintettek esetében is fennállhatnak adatkezelések (például partnerek elérhetőségi adatai, hírlevél, álláspályázatok stb.)

A GDPR-nak való teljes megfelelés azonban kizárólag egy részletes, előzetes vizsgálat alapján valósítható meg.

Az Adózóna GDPR Munkaügyi iratmintacsomagját itt rendelheti meg.
A 2018. május 25-étől alkalmazandó főbb adatkezelési szabályokat megtalálja itt.

Hozzon ki többet az Adózónából!
Előfizetőink és 14 napos próba-előfizetőink teljes terjedelmükben olvashatják cikkeinket, emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.