A kassai P. J. Šafárik Egyetem jogi karán diplomázott, aki az igazságszolgáltatás területén dolgozik és főként a kereskedelmi és munkajogra koncentrál.
Számos vállalkozó jelenleg speciális külső vállalatokon keresztül foglalkozik a bérszámfejtéssel és a könyveléssel. Hogyan befolyásolja a gyakorlatban a GDPR védelméről szóló európai rendelet a külső könyvelőket és az ügyfelekkel való kapcsolatukat?
Szabályozás EU az egyének védelméről a személyes adatok feldolgozása vonatkozásában és az ilyen adatok rövidítéssel ismert szabad mozgásáról GDPR, szabályozza az üzemeltetők, a közvetítők kötelezettségeit és az érintett személyek jogai. Új adatvédelmi szabályok 2018. május végétől lép hatályba vonatkozik mindenkire, aki üzleti adataiban személyes adatokkal dolgozik. Ez azt jelenti vonatkozik minden vállalkozóra, aki személyes adatokat kezel, mennyiségüktől függetlenül. A törvény értelmében a vállalkozók kötelesek megvédeni a személyes adatokat érintett személyek (pl. alkalmazottak).
A könyvelő szerepe, ill. a könyvelő cégnek kell vezetnie az adott szervezet könyvelését. Lehet belső vagy külső könyvelés. Mindkét esetben azonban feldolgozzák a természetes személyek személyes adatait, amelyek megtalálhatók például könyvelési bizonylatokban, szerződésekben, számlákban vagy nyomtatványokon.
Vállalkozó (munkáltató), aki a könyvelést külsőleg szeretné kezelni, meg kell felelnie a GDPR-nek. Noha nincs szüksége munkatársainak beleegyezésére, ki kell választania egy külső könyvelőt, aki elegendő biztosítékot adhat számára arról, hogy megfelelő technikai és szervezési intézkedéseket fog hozni annak biztosítására, hogy a személyes adatok kezelése megfeleljen a GDPR-nek, és biztosítja, hogy a az érintettek védettek. Szabályozás GDPR ban ben így megérinti nemcsak maga a munkáltató, hanem aj övé külső könyvelő (azaz természetes vagy jogi személy, aki a számviteli törvény alapján könyvelést folytat).
A GDPR szerint mi a külső könyvelő álláspontja?
A személyes adatok védelme során meg kell különböztetni két entitást - az üzemeltetőt és a közvetítőt.
Operátorok olyan természetes vagy jogi személy, aki a személyes adatokat saját nevében dolgozza fel (pl. a munkáltató maga dolgozza fel alkalmazottai személyes adatait a munkaviszonnyal kapcsolatos kötelezettségek teljesítése céljából).
Oda-vissza, közvetítő olyan természetes vagy jogi személy, aki személyes adatokat kezel az üzemeltető nevében (pl. könyvelő, vagy egy könyvelő cég könyvelést és bérszámfejtést vezet egy másik vállalatnál).
A GDPR szerint a külső könyvelő közvetítői státusszal rendelkezik.
Egyszerűen fogalmazva, ha könyvelő vagy a könyvelő cég külsőleg könyvelést vagy bérszámfejtést végez egy másik vállalkozó számára (pl. építőipari cégnél), amely e vállalkozó alkalmazottainak személyes adatait dolgozza fel, van a GDPR szempontjából a közvetítő státusza. Ilyen külső könyvelő, mint közvetítő tehát az érintettek személyes adatait nem maguknak, hanem egy másik személynek, azaz j. az üzemeltető számára, általában, mint az ügyfelének. Semmi sem akadályozza azonban, hogy egy ilyen könyvelő cég egyidejűleg üzemeltető legyen (pl. A saját alkalmazottainak könyvelésének és bérszámfejtésének feldolgozása során - úgynevezett belső könyvelés).
Ennek alapján a külső könyvelő feldolgozhatja az érintettek személyes adatait ?
Az adatkezelő általában megbízhatja a személyes adatok feldolgozását egy közvetítővel. A delegálást külön szerződés végzi.
Konkrétan ez azt jelenti, hogy a közvetítői pozícióban lévő külső könyvelő számláinak feldolgozását európai szabályozásnak megfelelően kell végrehajtani. alapján különleges szerződések az üzemeltető és a közvetítő között létrejött megállapodás (úgynevezett közvetítői szerződés). Az érintettek beleegyezése személyes adataik külső könyvelő általi feldolgozásáért nem szükséges.
A külső könyvelőnek külön szerződést kell kötnie az üzemeltetővel.
A közvetítői szerződés megkötése után a külső könyvelő elkezdheti az üzemeltető alkalmazottainak személyes adatainak feldolgozását, de csak a szerződésben megállapított mértékben és feltételekkel és csak az üzemeltető utasítására.
A személyes adatok kezelésének célját soha nem maga a külső könyvelő határozza meg, őt az adatkezelő határozza meg. A cél a könyvelés, és így a számviteli dokumentumok feldolgozása, vagy a bérszámfejtés.
Példa: A STAV s.r.o. felbérelt egy külső könyvelőirodát ÚČTO s.r.o. alkalmazottai könyvelésének és bérszámfejtésének feldolgozása céljából. Annak érdekében, hogy az ÚČTO s.r.o. feldolgozhatná az STAV s.r.o. alkalmazottak személyes adatait a GDPR szerint, közvetítői szerződést kell kötni a STAV s.r.o. üzemeltetőként és az ÚČTO s.r.o. mint közvetítő. Ezt követően legkorábban a szerződés megkötésének napján az ÚČTO s.r.o. a számviteli törvény és a megkötött brókerszerződés alapján az STAV s.r.o. alkalmazottak személyes adatainak beleegyezésük nélküli feldolgozására.
A külső könyvelő alapfeladatai a GDPR szerint
A GDPR rögzíti a külső könyvelő, mint közvetítő számos felelősségét. A legfontosabbak a következők:
- A feldolgozott személyes adatok védelmének kötelezettsége
Az adatkezelőhöz hasonlóan a közvetítői pozícióban lévő külső könyvelőnek a GDPR értelmében kötelessége az általa kezelt személyes adatok védelme. Ezért mindig figyelembe kell vennie a személyes adatok feldolgozásával járó kockázatokat (pl. Véletlen vagy illegális megsemmisítés, elvesztés, megváltoztatás, személyes adatok vagy azokhoz való illetéktelen hozzáférés).
- A feldolgozási tevékenységek nyilvántartásának kötelezettsége (GDPR 30. cikk, 2. pont)
Ha a külső könyvelő a több mint 250 alkalmazottat foglalkoztató munkáltatónál vezet könyvelést, akkor nyilvántartást kell vezetnie az adott munkáltató nevében végzett feldolgozási tevékenységekről (a feldolgozási tevékenység minden kategóriájáról). Ha több ilyen vállalkozóval rendelkezik, akkor mindegyikükről külön nyilvántartást kell vezetni. Bár ez a kötelezettség nem vonatkozik kisebb létszámra, a külső könyvelő ennek ellenére önkéntes nyilvántartást vezethet. A személyes adatok feldolgozásában való tájékozódás szempontjából gyakorlati szempontból praktikus, ugyanakkor "eltakarja a hátát" a kötelezettségek teljesítésének bizonyításakor. A feldolgozási tevékenységekről nyilvántartást írásban kell vezetni, beleértve elektronikus formában is. A Szlovák Köztársaság Személyes Adatvédelmi Hivatalának ellenőrzése esetén a külső könyvelő köteles ezeket a nyilvántartásokat átadni.
- Kötelezettség az adatkezelőt értesíteni a személyes adatok megsértéséről (GDPR 33. cikk, 2. pont)
Az európai rendelet új kötelezettséget vezetett be a közvetítők számára - a biztonsági események jelentését az üzemeltető felé. Így a külső könyvelőnek azonnal értesítenie kell az adatkezelőt az általa kezelt személyes adatok megsértéséről, amint tudomást szerez a jogsértésről. Az értesítésnek különösen meg kell jelölnie, hogy milyen jogsértés történt, kinek a személyes adataihoz kapcsolódik stb.
- Együttműködési kötelezettség a Szlovák Köztársaság Személyes Adatvédelmi Irodájával (GDPR 31. cikk)
A külső számvitelért felelős tisztviselő kérésre együttműködik a felügyeleti hatósággal feladatai ellátása során. A felügyeleti szerv a Szlovák Köztársaság Személyes Adatvédelmi Hivatala.
- Kötelezettség a személyes adatok törlésére vagy az üzemeltetőnek történő visszaküldésére
Külső könyvelési szolgáltatás megszüntetése esetén a külső könyvelő köteles minden személyes adatot törölni/megsemmisíteni. (másolatokkal együtt), feldolgozzák vagy visszaküldik az üzemeltetőnek. Az együttműködés megszüntetésének konkrét feltételeiről előzetesen a mediációs megállapodásban kell megállapodni.
- Titoktartási kötelezettség (Az új személyes adatok védelméről szóló törvény 79. cikke)
Végül, de nem utolsósorban a külső könyvelőnek meg kell őriznie az általa kezelt személyes adatok bizalmas jellegét. Ez a kötelezettség az üzemeltetővel való együttműködés befejezése után is fennáll.
Szankciók a külső könyvelői kötelezettségek megsértése esetén
A személyes adatok védelméről szóló új törvény jelentős bírságokat ír elő a kötelezettségszegések miatt. Ez vonatkozik a közvetítői pozícióban lévő külső könyvelők kötelezettségszegéseire is.
Például, ha külső könyvelő megsérti a feldolgozási tevékenységek nyilvántartásának vezetési kötelezettségét, a biztonsági eseményről az üzemeltető értesítésének kötelezettségét vagy a titoktartási kötelezettséget, a Hivatal legfeljebb 10% pénzbírságot szabhat ki 10 000 000 EUR-ig, vagy vállalkozás esetében az előző pénzügyi év teljes éves világforgalmának 2% -áig, amelyik nagyobb.