Vállalkozás

GDPR a könyvelésben: Meddig kell megőrizni a személyes adatokat

iranyonline 0

A digitális korban az adatok aranyat érnek, ám ez a hatalmas érték hatalmas felelősséggel is jár. Különösen igaz ez a könyvelőirodákra és a bérszámfejtéssel foglalkozó szakemberekre, akik nap mint nap rengeteg érzékeny személyes adattal dolgoznak. A GDPR (általános adatvédelmi rendelet) bevezetése óta az adatkezelés szabályai sokkal szigorúbbá váltak, és a „meddig kell megőrizni a személyes adatokat” kérdés az egyik leggyakrabban felmerülő dilemma a szakmában. Ebben a cikkben alaposan körüljárjuk ezt a témát, gyakorlati útmutatót nyújtva a könyvelőknek.

Miért olyan fontos a GDPR a könyvelők számára?

A könyvelési tevékenység inherently adatfeldolgozási folyamatokkal jár. Gondoljunk csak a munkavállalók bérszámfejtésére, az egyéni vállalkozók bevallásaira, vagy éppen a cégek számláira, amelyek mind tartalmaznak személyes adatokat. Nevek, címek, adóazonosító számok, TAJ-számok, bankszámlaszámok, családi állapotra vonatkozó információk – mindezek érzékeny adatok, amelyekkel körültekintően kell bánni. A könyvelők gyakran adatfeldolgozóként, néha adatkezelőként is érintettek, így a GDPR előírásainak maradéktalan betartása kulcsfontosságú. Nem csupán a bírságok elkerülése, hanem az ügyfélbizalom megőrzése és a szakmai integritás védelme miatt is.

A GDPR alapelvei az adattárolás szemszögéből

Mielőtt rátérnénk a konkrét megőrzési időkre, érdemes felidézni a GDPR néhány alapelvét, amelyek áthatják az egész adatkezelést, így az adattárolást is:

  • Célhoz kötöttség: Az adatokat csak konkrét, egyértelmű és jogszerű célból lehet gyűjteni és felhasználni.
  • Adattakarékosság: Csak a cél eléréséhez feltétlenül szükséges adatokat szabad gyűjteni és kezelni.
  • Korlátozott tárolhatóság: A személyes adatokat csak addig lehet tárolni, ameddig az a cél eléréséhez, illetve a jogszabályi kötelezettségek teljesítéséhez szükséges. Ez a mi fókuszunk.
  • Pontosság: Az adatoknak pontosnak és naprakésznek kell lenniük.
  • Integritás és bizalmas jelleg: Az adatokat megfelelő technikai és szervezési intézkedésekkel védeni kell a jogosulatlan hozzáféréstől, módosítástól, megsemmisüléstől.

A „korlátozott tárolhatóság” elve egyértelműen rögzíti: nem szabad feleslegesen tárolni a személyes adatokat. De mi számít „szükségesnek” a könyvelésben, és mikor „felesleges” már?

Mi minősül „személyes adatnak” a könyvelésben?

A könyvelői tevékenység során számos olyan adat merül fel, amely a GDPR hatálya alá esik. Ezek tipikusan:

  • Munkavállalói adatok: Név, születési dátum, anyja neve, lakcím, adóazonosító jel, TAJ szám, bankszámlaszám, telefonszám, e-mail cím, végzettség, munkakör, fizetés, családi állapot, gyermekek száma (adókedvezmények miatt), egészségügyi alkalmassági adatok.
  • Egyéni vállalkozók/őstermelők adatai: Név, cím, adószám, bankszámlaszám, esetlegesen vállalkozásával kapcsolatos, de személyére visszavezethető információk.
  • Cégek képviselőinek, kapcsolattartóinak adatai: Név, e-mail cím, telefonszám, munkakör.
  • Számlákon szereplő adatok: Bár a cégek adatai nem minősülnek személyes adatnak, az egyéni vállalkozók, vagy a készpénzes vásárlás során megadott magánszemélyi adatok igen.

Fontos, hogy minden olyan információt személyes adatként kezeljünk, amelyből egy élő természetes személy azonosítható.

Az adatmegőrzés jogalapjai a könyvelésben

A GDPR szerint a személyes adatok kezeléséhez (így a tárolásához is) mindig kell egy érvényes jogalap. A könyvelésben leggyakrabban a következő jogalapok relevánsak:

  1. Jogi kötelezettség teljesítése (GDPR 6. cikk (1) c) pont): Ez a legfontosabb jogalap a könyvelők számára. Számos magyar jogszabály írja elő, hogy mennyi ideig kell megőrizni bizonyos dokumentumokat és az azokon szereplő adatokat (pl. Számviteli törvény, Adózás rendjéről szóló törvény, Munka Törvénykönyve, TB-törvény). Amennyiben egy jogszabály előírja az adatmegőrzést, a GDPR ezen az alapon engedi meg azt, függetlenül attól, hogy az érintett hozzájárul-e ehhez vagy sem.
  2. Szerződés teljesítése (GDPR 6. cikk (1) b) pont): Az ügyfelekkel kötött megbízási szerződések teljesítéséhez (pl. bérszámfejtéshez, bevallások elkészítéséhez) szükség van bizonyos adatok kezelésére. Ebben az esetben a tárolási idő a szerződés teljesítéséhez és az abból eredő igények érvényesítéséhez szükséges időtartamra korlátozódik, de ezt felülírhatja a jogi kötelezettség.
  3. Jogos érdek (GDPR 6. cikk (1) f) pont): Ritkábban fordul elő, de például egy esetleges jogvita elkerülése vagy rendezése érdekében indokolt lehet az adatok ideiglenes megőrzése, miután a jogi kötelezettség már lejárt, de a bírósági elévülési idő még nem. Ilyenkor érdekmérlegelést kell végezni.
  4. Hozzájárulás (GDPR 6. cikk (1) a) pont): Ez a jogalap a könyvelésben viszonylag ritkán alkalmazandó, mivel a legtöbb adatkezelés jogszabályi előíráson alapul. Ha mégis hozzájáruláson alapul az adatkezelés, az érintett bármikor visszavonhatja azt, ekkor az adatokat törölni kell, hacsak nincs más jogalap a további kezelésre.

Látható, hogy a jogi kötelezettség a legmeghatározóbb a könyvelésben, ez fogja diktálni a legtöbb megőrzési időt.

Konkrét jogszabályok és megőrzési idők Magyarországon

Most nézzük meg, mely magyar jogszabályok írják elő az adatmegőrzés konkrét időtartamait, és ez hogyan viszonyul a GDPR-hoz.

1. A Számviteli törvény (2000. évi C. törvény)

A Számviteli törvény egyértelműen meghatározza a bizonylatok megőrzési idejét:

  • Számviteli bizonylatok, könyvviteli elszámolások: A törvény 169. § (2) bekezdése szerint a gazdálkodó a könyvviteli elszámolást közvetlenül alátámasztó bizonylatot, főkönyvi kivonatot, analitikus és részletező nyilvántartásokat legalább 8 évig köteles megőrizni. Ez az időtartam az üzleti év lezárását követő év első napján kezdődik.
  • Beszámolók: A beszámolókat (mérleg, eredménykimutatás, kiegészítő melléklet) a gazdálkodónak véglegesen, irattárában kell őriznie. Mivel ezek jellemzően cégadatokat tartalmaznak, a közvetlen személyes adat érintettség kisebb, de az aláíró személyének adata ettől még személyes adat.

Mit jelent ez a gyakorlatban? Minden számla, bankkivonat, szerződés, pénztárbizonylat, amely személyes adatot tartalmaz (pl. egyéni vállalkozó neve, címe; munkavállaló nevére szóló kiküldetési rendelvény) legalább 8 évig megőrzendő. Ez a 8 év egy abszolút minimum, amit sem a GDPR, sem az ügyfél nem írhat felül. Fontos, hogy az adathordozótól függetlenül (papír, elektronikus) kell megőrizni, olvasható formában.

2. Az Adózás rendjéről szóló törvény (2017. évi CL. törvény, Art.)

Az Adózás rendjéről szóló törvény az adóbevallásokkal és az azokat alátámasztó dokumentumokkal kapcsolatos megőrzési időket határozza meg:

  • Adókötelezettséget alátámasztó iratok: Az adóhatósághoz benyújtott bevallásokat, valamint az adó megállapításához, az adóhatóság ellenőrzési jogának gyakorlásához szükséges iratokat az adó megállapításához való jog elévüléséig kell megőrizni. Az elévülési idő általában az adóévet követő év utolsó napjától számított 5 év. Vannak kivételek, például ha adócsalás gyanúja merül fel, az elévülési idő meghosszabbodhat.

Összefüggés a Számviteli törvénnyel: Mivel az adóbevallások alapjául szolgáló bizonylatok (pl. számlák) a Számviteli törvény szerint 8 évig őrzendők, az adózási elévülési idő lejárta után is tovább kell tárolni ezeket az iratokat a Számviteli törvény alapján. Fontos a két jogszabály „együttélése”: mindig a hosszabb megőrzési idő az irányadó, ha mindkettő releváns.

3. A Munka Törvénykönyve (2012. évi I. törvény) és kapcsolódó jogszabályok (pl. TB törvény)

A bérszámfejtéssel és munkaüggyel kapcsolatos adatok megőrzése az egyik legkomplexebb terület, mivel itt rendkívül hosszú időtartamokkal találkozunk:

  • Nyugdíjbiztosítási adatok: A társadalombiztosítási nyugellátásról szóló törvény (1997. évi LXXXI. tv.) és az egészségügyi hozzájárulásról szóló törvény (1998. évi LXVI. tv.) alapján a nyugdíj megállapításához szükséges munkaügyi és bérszámfejtési iratokat (pl. munkaszerződések, bérjegyzékek, jövedelemigazolások) a jogszabályok szerint legalább 50 évig kell megőrizni. Ez a rendkívül hosszú időtartam a munkavállaló egész életpályájának, majd nyugdíjazásának lekövethetőségét szolgálja.
  • Munkaidő-nyilvántartás, szabadság nyilvántartás: Ezek az iratok a Munka Törvénykönyve alapján a jogviták elévülési idejéig, azaz általában 3-5 évig őrzendők meg. Azonban ha személyes adatot tartalmaznak, amely a nyugdíj alapját képezheti, a hosszabb, 50 éves időtartam felülírhatja.
  • Egészségügyi alkalmassági vizsgálatok: Az alkalmassági vizsgálatok eredményeit, dokumentumait a vonatkozó rendeletek alapján (pl. 33/1998. (VI. 24.) NM rendelet) a munkaviszony megszűnését követően 5-10 évig kell megőrizni, a vizsgálat típusától függően.

A 50 éves szabály: Kiemelten fontos, hogy a munkaviszonyra vonatkozó iratokat, amelyek a nyugdíj alapját képezik, valósan meg kell őrizni 50 évig. Ez a könyvelők számára komoly kihívást jelenthet az irattározás és az adatok biztonságos kezelése szempontjából.

4. A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény (2017. évi LIII. törvény)

A pénzmosás elleni törvény is előír adatmegőrzési kötelezettségeket:

  • Ügyfél-átvilágítási adatok: Az ügyfél-átvilágítás során rögzített adatokat és dokumentumokat, valamint az ügyletekre vonatkozó adatokat az üzleti kapcsolat megszűnésétől, illetve az ügyleti megbízás teljesítésétől számított 8 évig kell megőrizni.

Ez a könyvelőirodákra is vonatkozhat, amennyiben az ügyfelük pénzmosás elleni törvény hatálya alá eső tevékenységet végez, vagy ha a könyvelőiroda maga is szolgáltatóként (pl. adótanácsadás) érintett az átvilágítási kötelezettségben.

5. Egyéb specifikus esetek és az elévülési idő

  • Peres ügyek, jogviták iratai: Ha egy adat egy folyamatban lévő vagy lezárt jogvitához kapcsolódik, azt a vita lezárását követő általános elévülési idő (5 év, Ptk. 6:22. §) végéig célszerű megőrizni, hogy egy esetleges fellebbezésre, perújításra fel lehessen készülni.
  • Panaszkezelés: A fogyasztóvédelemről szóló törvény alapján a panaszról felvett jegyzőkönyvet és a válasz másolati példányát 5 évig meg kell őrizni.

Amikor a GDPR felülírja vagy kiegészíti a nemzeti jogot: az „ami a leghosszabb” elve

A GDPR általános szabályként a korlátozott tárolhatóságot írja elő, vagyis hogy az adatokat csak addig lehet tárolni, ameddig az a cél eléréséhez feltétlenül szükséges. A fenti magyar jogszabályok viszont konkrét időtartamokat szabnak meg. Hogyan viszonyul egymáshoz a két szabályrendszer?

Alapvetően a nemzeti jogszabályok által előírt, kötelező adatmegőrzési időtartamok felülírják a GDPR általános korlátozó elvét. Tehát, ha a Számviteli törvény 8 évet, a TB-törvény 50 évet ír elő, akkor ezeket be kell tartani. A GDPR ezen esetekben a „jogi kötelezettség teljesítése” jogalapon keresztül teszi lehetővé a hosszabb tárolást.

A kihívás akkor merül fel, ha egy adott adatfajtára nincs explicit magyar jogszabályi előírás a megőrzési időre. Ilyenkor lép be a GDPR szellemisége: az adatkezelőnek kell meghatároznia egy ésszerű, a célhoz kötöttség elvével összhangban lévő időtartamot, és ezt rögzíteni az adatkezelési tájékoztatóban és szabályzatban. Ebben az esetben a tárolási időnek a lehető legrövidebbnek kell lennie.

A könyvelésben azonban a legtöbb személyes adat kezelését valamilyen jogszabályi kötelezettség támasztja alá, így az „ami a leghosszabb” elv dominálja a megőrzési időket. Tehát, ha egy dokumentum (pl. egy számla) egyszerre esik a Számviteli törvény (8 év) és az Adózás rendjéről szóló törvény (5 év) hatálya alá, akkor a 8 évet kell alkalmazni.

Gyakorlati tanácsok könyvelőknek az adatmegőrzéshez

A fenti jogszabályok és elvek útvesztőjében segíthet néhány praktikus tanács:

  1. Részletes adatkezelési tájékoztató és szabályzat: Frissítsük, vagy készítsünk egy olyan dokumentumot, amely pontosan tartalmazza az egyes adatkategóriákra vonatkozó megőrzési időket és azok jogalapját. Kommunikáljuk ezt ügyfeleink felé!
  2. Adatkezelési nyilvántartás (Részletes nyilvántartás az adatkezelési tevékenységekről): Vezessünk pontos nyilvántartást arról, hogy milyen adatokat, milyen célból, milyen jogalapon és mennyi ideig tárolunk. Ez nem csak a GDPR-megfelelés alapja, hanem segíti a belső átláthatóságot is.
  3. Technikai és szervezési intézkedések: Gondoskodjunk az adatok biztonságos tárolásáról. Ez magában foglalja a fizikai iratok zárható szekrényben való tárolását, az elektronikus adatok titkosítását, jelszóval védett hozzáférését, biztonsági mentések készítését és a jogosultságok korlátozását.
  4. Rendszeres felülvizsgálat és adattörlési protokoll: Alakítsunk ki egy olyan rendszert, amelynek keretében rendszeresen felülvizsgáljuk a tárolt adatokat, és amelynek alapján a megőrzési idő lejártakor az adatokat biztonságosan töröljük vagy anonimizáljuk. Ennek legyen írásos protokollja.
  5. Különbségtétel az adatok között: A bérszámfejtési adatok (50 év) és az általános könyvelési adatok (8 év) megőrzési idejének jelentős eltérése miatt érdemes fizikailag vagy logikailag elkülöníteni ezeket az adatcsoportokat az irattározás során.

Az adattörlés fontossága és módjai

A „feleslegesen tárolt” adat rengeteg kockázatot hordoz: növeli az adatvédelmi incidensek esélyét, nagyobb potenciális bírságot jelenthet, és jogalap hiányában jogsértővé válhat az adatkezelés. Ezért az adatok biztonságos és végleges törlése elengedhetetlen.

  • Fizikai iratok: Iratmegsemmisítővel történő aprítás vagy szakosodott iratmegsemmisítő cég igénybevétele.
  • Elektronikus adatok: Biztonságos törlési szoftverek használata, amelyek felülírják az adatokat, vagy a merevlemezek fizikai megsemmisítése. Egyszerű „delete” nem elegendő, hiszen az adatok visszaállíthatóak lehetnek.
  • Anonimizálás: Az adatok olyan módon történő átalakítása, amely során az érintett természetes személy többé nem azonosítható (pl. statisztikai célokra). Ezzel az adatok kikerülnek a GDPR hatálya alól.
  • Pszeudonimizálás: Az adatok olyan módon történő átalakítása, amelynek következtében az adatok a továbbiakban konkrét természetes személyhez nem rendelhetők anélkül, hogy további információt használnának fel (pl. azonosító kódok alkalmazása), de visszafordítható. Ez még a GDPR hatálya alá esik, és fokozott biztonságot adhat.

A jogsértés következményei

Az adatmegőrzési szabályok megsértése súlyos következményekkel járhat. Az adatvédelmi incidensek (pl. illetéktelen hozzáférés, adatok elvesztése) bejelentési kötelezettséggel járnak, és súlyos bírságokat vonhatnak maguk után. A GDPR alapján a bírságok elérhetik a 20 millió eurót vagy a vállalkozás éves árbevételének 4%-át, attól függően, melyik a magasabb. Ezen túlmenően a hírnévromlás, az ügyfélbizalom elvesztése is jelentős kárt okozhat.

Záró gondolatok: Az adatvédelem, mint versenyelőny

A GDPR és az adatmegőrzési szabályok elsőre bonyolultnak és terhesnek tűnhetnek, de valójában lehetőséget kínálnak a könyvelőirodáknak arra, hogy professzionalitásukat és megbízhatóságukat demonstrálják. Az adatok gondos és jogszerű kezelése, a pontosan meghatározott megőrzési idők betartása, valamint az átlátható kommunikáció az ügyfelek felé mind-mind hozzájárul ahhoz, hogy a könyvelőiroda bizalomra épülő kapcsolatot alakítson ki partnereivel. Végül is, a mai digitális világban a biztonság az egyik legértékesebb szolgáltatás.

Ne feledje, a fenti információk általános iránymutatásként szolgálnak. Mindig tájékozódjon a legfrissebb jogszabályi változásokról, és kétség esetén forduljon szakjogászhoz vagy adatvédelmi tisztviselőhöz!

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük