A GDPR a személyes adat fogalmán a magyar Infotv-hez képest nem változtat, ebbe a körbe tartozik valamennyi információ, amely természetes személyre vonatkozik, és amely alapján közvetlenül vagy több adat összekapcsolásával közvetve valamilyen természetes személy azonosított vagy azonosítható.

A könyvelők, bérszámfejtők alapvetően kétféle adattal dolgoznak munkájuk során:

1.    Cégek adataival, így cégnév, székhely, telephely, fióktelep, cégjegyzékszám, adószám és egyéb cégjegyzékben szereplő adatok, a cég éves beszámolójában szereplő gazdasági adatai, bevételei, ráfordításai, egyéb gazdasági, pénzügyi adatai – ezek nem minősülnek személyes adatnak, mert nem köthetők természetes személyhez.

Céges adatokat kezelnek a könyvelők, bérszámfejtők egyrészt megbízóik esetében, másrészt a könyvelő, bérszámfejtő vállalkozás beszállítói esetében (például IT üzemeltető, rendszergazda, alvállalkozó).

2.    Természetes személyek adatai, mint például név, lakcím, telefonszám, e-mail cím, adóazonosító jel, TAJ szám, anyja neve, születési helye és ideje, stb. – ezek az adatok önmagukban személyes adatoknak minősülnek és kezelésükre vonatkozik a GDPR összes rendelkezése.

Természetes személyek adatait kezelik a könyvelők, bérszámfejtők a megbízóik munkavállalói, vezető tisztségviselői adatai esetén, akikre vonatkozóan a bérszámfejtési, könyvelési feladatokat elvégzik. Másrészről kezelik a velük szerződött megbízók és a saját beszállítóik kapcsolattartó személyeinek elérhetőségi adatait (például nevét, beosztását, telefonszámát és céges névre szóló e-mail címét), amelyek szintén természetes személyekre vonatkozó személyes adatok. Harmadrészt kezelik a saját alkalmazottaik személyes adatait a munkaviszony keretében.

A két fogalom közötti különbséget az jelenti, hogy az adatkezelő saját maga, önállóan jár el, saját nevében végez adatkezelést és önmaga határozza meg az adatkezelés céljait, eszközeit, módszereit. Ezzel szemben az adatfeldolgozó mindig az adatkezelő megbízásából, az ő nevében jár el, az adatkezelő utasításai szerint kezeli az adatokat, saját nevében, saját céljaira az adatokat nem használhatja. 

A fenti definíciók alapján a könyvelők, bérszámfejtők mindkettőnek minősülnek egyben, az alábbiak szerint.

A könyvelők, bérszámfejtők adatkezelőnek minősülnek az alábbi esetekben:

a)    a saját munkavállalóik adatai tekintetében, 
b)    a megbízóik kapcsolattartói adatai tekintetében,
c)    a saját beszállítóik kapcsolattartói adatai tekintetében,
d)    a megbízó adatai esetén akkor, ha a megbízójuk magánszemély (például adóbevallás elkészítésére ad megbízást)
e)    a megbízó adatai esetében akkor is, ha a megbízó egyéni vállalkozó.

Másrészről viszont a könyvelők, bérszámfejtők a megbízóik munkavállalóinak adatai tekintetében adatfeldolgozók is, akik a megbízójuk nevében és helyett járnak el, az adatokat a megbízótól kapják, és nem használhatják azokat a megbízási szerződésükben meghatározottaktól eltérő célra.

A megbízó megbízásából adatfeldolgozóként kezelt adatok tekintetében a könyvelőknek, bérszámfejtőknek az érintettekkel szemben (vagyis például a megbízó munkavállalóival szemben) közvetlen kártérítési felelőssége van, ha megszegték a GDPR adatfeldolgozókra vonatkozó előírásait, figyelmen kívül hagyták vagy megszegték a megbízó adatkezelő utasításait. Ebben az esetben a könyvelő, bérszámfejtő érintettekkel szembeni felelőssége egyetemleges a megbízóval és a többi adatfeldolgozóval.

Ezen kívül a felügyeleti hatóság a GDPR szabályainak megsértése esetén bírsággal sújthatja a könyvelőt, bérszámfejtőt, vagy más szankciót is alkalmazhat vele szemben, így utasíthatja az elmaradt tájékoztatás megadására, adatvédelmi auditot rendelhet el, helyszíni vizsgálatot végezhet, figyelmeztetheti a jogsértésre, elmarasztalhatja, utasíthatja a kérelem teljesítésére, a GDPR összhang megteremtésére, korlátozhatja vagy megtilthatja az adatkezelkést, elrendelheti az adatok helyesbítését, törlését, megsemmisítését, korlátozását, és ha a könyvelő, bérszámfejtő rendelkezik valamilyen tanúsítvánnyal a GDPR megfelelésre nézve, akkor a hatóság ezen tanúsítványát jogsértés esetén vissza is vonhatja.

A bírság felső határa súlyos jogsértés esetén a világpiaci forgalom 4%-a, vagy 20 millió euro, kisebb súlyú jogsértés esetén pedig 2% és 10 millió euro, amelyik a magasabb összeg.

A GDPR alapján az érintett kérheti a hozzájáruláson vagy szerződésen alapulóan megadott, automatizált adatkezelésben lévő adatai kiadását és másik szolgáltatóhoz történő közvetlen továbbítását (ha ez technikailag megvalósítható). 

Az adathordozhatóság tulajdonképpen kétféle jogot foglal magában: az adat érintettnek történő kiadását, valamint az adat továbbítását másik szolgáltatóhoz, másik adatkezelőhöz. 

Adatvédelmi incidens az adatbiztonság olyan sérülése, amely a kezelt adatok véletlen vagy jogellenes megsemmisüléséhez, elvesztéséhez, megváltoztatásához, jogosulatlan közléséhez vagy azokhoz való jogosulatlan hozzáféréshez vezet.

Mivel a könyvelők, bérszámfejtők adatkezelők és adatfeldolgozók is egyben, ezért mindkét minőségre vonatkozó kötelezettségüket teljesíteni szükséges. Amennyiben az adatvédelmi incidens kockázattal jár az érintettek jogaira nézve, akkor adatkezelőként köteles azt a tudomásszerzéstől számított 72 órán belül bejelenteni a felügyeleti hatóságnak a GDPR-ben meghatározott tartalommal. Az adatfeldolgozó pedig haladéktalanul köteles az adatkezelőt tájékoztatni az adatvédelmi incidensről. 
Az adatvédelmi incidensekről a könyvelő, bérszámfejtő cég köteles nyilvántartást is vezetni a GDPR-ben meghatározott tartalommal.

Igen, külön nyilvántartást kell vezetniük az adatkezelési és az adatfeldolgozási tevékenységükről, eltérő tartalommal. 

Adatkezelőként a nyilvántartásban fel kell tüntetni az adatkezelő, azaz a könyvelő, bérszámfejtő vállalkozás nevét, elérhetőségeit, ha van, akkor adatvédelmi tisztviselője nevét és elérhetőségeit, az adatbiztonság érdekében tett intézkedéseit, valamint azt, hogy milyen érintetti kategória, milyen típusú adatát, milyen célra és milyen jogalapon, meddig kezeli, az adatokat kinek továbbítja. 

Az adatfeldolgozói tevékenységéről (vagyis a könyvelési, bérszámfejtési tevékenysége körében történt adatkezelésről) szóló nyilvántartásának pedig tartalmaznia kell minden megbízójának, azaz adatkezelőnek a nevét és elérhetőségeit, akiknek a nevében és megbízásából a könyvelést, bérszámfejtést végzi, annak leírását, hogy milyen jellegű adatkezelési tevékenységet végez ezen megbízóknak (például: könyvviteli szolgáltatás, bérszámfejtés, stb.), kinek továbbítja az adatokat, valamint az adatbiztonság biztosítása érdekében tett intézkedései leírását. A nyilvántartásnak mindig napra késznek kell lennie, és ha a felügyeleti hatóság azt kéri, azt be kell mutatni. A nyilvántartás készülhet írásban, papír alapon vagy elektronikus formátumban is.