adozona.hu
A nap kérdése: átadhatja-e a régi könyvelő közvetlenül az újnak egy cég könyvelési iratait?
//adozona.hu/gdpr_adatvedelem/A_nap_kerdese_atadhatjae_a_regi_konyvelo_az_VZVKE9
A nap kérdése: átadhatja-e a régi könyvelő közvetlenül az újnak egy cég könyvelési iratait?
Betegség miatt nem vállalta egy könyvelő 2024. évre cégek könyvelését. Az érintett céggel könyvviteli és adózási szolgáltatáshoz kapcsolódó adatkezelési és adatfeldolgozási szerződést írt alá a könyvelő. Az új könyvelő e-mailben kéri az alkalmazottak iratait, a könyvelt adatállományt. Ha a régi könyvelő adatot szolgáltat az újnak, nem sérti meg a vonatkozó jogszabályt? Kinek köteles átadni a volt partnercég iratanyagát? – kérdezte olvasónk. Dr. Kéri Ádám ügyvéd, compliance szakértő válaszolt.
A GDPR 28. cikk (3) bekezdésének g) pontja szerint "az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő".
Ennek alapján a volt könyvelőnek a volt ügyfélnek kell átadnia az adatokat, az általa megjelölt módon, és nem az új könyvelőnek. Erre vonatkozóan azonban az adatfeldolgozási szerződés is tartalmazhat részletet. Javasolt tehát a volt ügyfélnek megküldeni a könyvelési anyagot, biztonságos és dokumentált módon. Az új könyvelőt pedig tájékoztatni arról, hogy a GDPR 28. cikk (3) bekezdésének (g) pontja szerint járt el.
Hozzászólások (2)
A kérdező számára javasolom, hogy a válaszomat kövesse. A hozzászólásban található érvelés majdnem minden elemében téves.
A könyvelőiroda valóban adatkezelő, de az f) pont alapján is eljárhat, tehát segítheti az adózót, azzal, hogy az utasítása szerint egyből a másik könyvelőnek továbbítja az adatokat.
A GDPR könyvelési adatokra való alkalmazása kapcsán viszont jó lenne néhány dolgot tisztázni:
A könyvelés, bérszámfejtés, TB ügyintézés (és számos egyéb tevékenység) tagállami szabályozás alatt áll! Az elmúlt években világossá vált, hogy a könyvelési adat más jogszabály által előírt, elévülési időn belül kötelezően kezelendő adat, így az az ügyfél (adózó) birtokában lévő adat önmagában nem tartozik a GDPR alá (2016/679 RENDELET 2. cikk (2) a)!
Az adatkezelőnek (munkáltatónak) tehát nem kell tájékoztatást adnia, hogy miért gyűjt számviteli, adózási adatot és mit csinál vele. Képzeljük csak el, hogyha egy számla kiállítása kapcsán GDPR jogosultságai nyílnának a kedves vevőnek, vagy a munkavállaló megfuttathatná a munkáltatót, hogy számoljon be, hogy hol vannak a munkaszerződésben szereplő "személyes" adatai. Ha a munkáltató a dolgozó email címére küldte a béradatokat, akkor az email cím is ugyanolyan magyar jogszabály alá tartozó adat, mint az adóazonosító jele, vagy a TAJ száma - mindez tehát a munkáltató számára nem GDPR téma.
Hangsúlyozom, hogy ez az adózónál (munkáltatónál, számlakibocsátónál, stb.) áll fenn, más számára ezek az adatok személyes adatok, de azt már csak adatfeldolgozói minőségében kezelik (28-30. cikk)
Egyre többen látják be, hogy a könyvelési adatvagyon az ügyfél tulajdona, annak átadásáról - a jogszabályi kötelezettsége betartása érdekében - rendelkezhet. Ebben a GDPR annyiban játszik szerepet, hogy mindkét könyvelő adatfeldolgozó szerepükben védeniük kell az ilyen adatokat.
Megjegyzem, hogy adatfeldolgozóként a GDPR rendelet 30. cikkében szereplő nyilvántartást - vagyis szabályzatot - kell(ene) készíteni és azt átadni a NAIH számára, ha kérik, például adatvédelmi incidens miatt. Ez a szabályzat akár 1 oldal is lehet, bár a közhiedelem szerint ez nem lenne komolyan vehető, holott az tartalmilag csak az alábbiakat kellene, hogy tartalmazza:
a) az adatkezelő neve és elérhetősége
b) az adatkezelés céljai (könyvelés)
c) a személyes adatok kategóriáinak ismertetése
d) a potenciális adatátadások iránya (pl. NAV)
e) a harmadik országba való továbbítás kizárása
f) a megszűnés esetére az adattörlés határidejei
g) ha van, akkor a titkosítás és az adatvédelem leírása.
A leginkább az lenne a logikus, ha minden ügyfélnél mindez szerepelne az írásos szerződésben, így a nyilvántartás (szabályzat) meg is valósult, egy füst alatt.
A GDPR rendelet szövege egyébként itt olvasható: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=celex%3A02016R0679-20160504