A kérdés konkrétan így szólt: “250 főnél kevesebb munkavállalói létszámmal rendelkező cég vagyunk, ha jól tudom, nem kötelezettek adatvédelmi nyilvántartásra, de nekünk is ajánlott, mivel a dolgozó kérésére igazolást kell adni, hogy hová továbbítottuk az adatait. A bérszámfejtés cégen belül történik, de a 08-as havi bevallásokat és a T1041-es ki-bejelentéseket könyvelő cég végzi. Kell-e nyilvántartásban szerepeltetni a T1041-es jelentéseket, mivel ezekre törvény kötelez bennünket, vagy a bíróság felé továbbított adatokat, ami megint csak kötelező részünkről?”

SZAKÉRTŐNK VÁLASZA:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 Rendelet (a továbbiakban: GDPR) 30. cikkének (5) pontja alapján, ha egy cég 250 fő alatti létszámmal rendelkezik, akkor ez önmagában még nem mentesíti a nyilvántartási kötelezettség alól. A mentesüléshez többek között az is szükséges, hogy az adatkezelések alkalmi jellegűek legyenek.

A hatályos jogszabályi értelmezés és gyakorlat alapján a fenti feltételnek nagyon kevés cég tud megfelelni, mivel amennyiben akár 1 munkavállaló adatát is kezeli, az már nem minősül alkalmi jellegűnek, így a szabályzat készítése kötelező.

A GDPR 30. cikk (1) d) pontja alapján a szabályzat kötelező eleme az olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják. A GDPR 4. cikk 9. pontja alapján címzettnek minősül a közhatalmi szerv is, amellyel a személyes adatot közlik.

A fentiek alapján a szabályzatban mindenképpen javasolt feltüntetni, hogy a bérszámfejtéshez szükséges személyes adatok hatóság/bíróság részére kerülnek továbbításra.

Mivel a könyvelő cég adja be a bevallásokat, ő a személyes adatokhoz hozzáfér, vagyis őt is javasolt címzettként szerepeltetni. Továbbá, a könyvelő cég a kérdésben szereplő információ alapján ún. adatfeldolgozónak fog minősülni, így vele adatfeldolgozói szerződés megkötése indokolt.

Továbbá, a szabályzaton túl a GDPR 13. cikkében nevesített adatkezelési tájékoztatókkal is kötelezően rendelkezniük kell, amelyet az érintettekkel (így többek között a munkavállalókkal) még a személyes adataik megadása előtt kötelezően meg kell ismertetniük.

Fontos, hogy a szabályzatokat/tájékoztatókat adatkezelési tevékenységenként kell elkészíteni, így például munkavállalók tekintetében nem csak a bérszámfejtés kapcsán merülhet fel személyes adatok kezelése, hanem például riasztórendszerrel, GPS-szel, kamerával, parkolóhellyel, céges eszközökkel, oktatásokkal stb. kapcsolatosan is, illetve egyéb érintettek esetében is fennállhatnak adatkezelések (például partnerek elérhetőségi adatai, hírlevél, álláspályázatok stb.)

A GDPR-nak való teljes megfelelés azonban kizárólag egy részletes, előzetes vizsgálat alapján valósítható meg.

Forrás Adózóna

Társaságunk vállalja fenti átvilágítás díjtalan elvégzését, és ez alapján ajánlatot ad a szükséges zsabályzatra!