A számviteli szakembereknek számos szakmai kihívással kell megküzdeniük nap, mint nap. A sort kezdhetjük az ügyfelek összetett működésével, gyakran irreális igényeivel, és kooperációs nehézségeikkel. Folytathatnánk továbbá a rendszeresen, és nem kiszámítható módon változó jogszabályokkal, vagy az adóhatósággal való szóbeli és elektronikus kommunikációból adódó nehézségekkel. Az utóbbi időben azonban a technika világából is egyre inkább érik újszerű, testidegen kihívások a számviteli szakembereket, mint amilyenek az adatvédelem és az adatbiztonság területén felmerülő kérdések.

Az e területeken mutatkozó Európai Unióban és Magyarországon várható jogszabálymódosulások nem csak a számviteli szolgálatások területén működő vállalkozásokat érintik, hanem mindazokat, akik nagy mennyiségű adat feldolgozását végzik. E területeken a vállalkozások felelősségének jelentős növekedése várható, így e témával számos kiadvány, szakmai rendezvény foglalkozik napjainkban. Terjedelménél fogva nem lehet ebben a cikkben bemutatni a teljes témakört, ugyanakkor érdemes összefoglalni a legfontosabb kérdéseket.

Önmagában már az is elég kihívás, hogy áttekintsük az adatbiztonsági témakör kiinduló pontjaként az alkalmazott rendszereket. Hiszen alapvetően felmerül a kérdés,

• hogyan is gondoskodunk az informatikai rendszereink stabilitásáról?
• vajon mennyi informatikai belső szaktudás, vagy külső szolgáltatás igénybevétele szükséges az informatikai rendszerek megfelelő működésének fenntartásához?
• olyan rendszert építünk, ami megfelelően rugalmasan viszonyul az ügyfelek növekvő igényeihez?
• elegendő új szoftver áll rendelkezésünkre, hogy hatékonyabban dolgozzanak munkatársaink?
• tudunk olyan új információforrásokat és információáramlást teremteni az ügyfeleinkkel, ami munkánkat hatékonyabbá és ügyfeleinket elégedettebbé teheti?

Ha túljutottunk az első feladaton, és megfelelőnek találtuk az informatikai rendszereink összetételét – mind kollégáink, mind ügyfeleink részéről pozitív visszajelzést kapunk – úgy tovább kell lépnünk az adatbiztonság szűkebb értelemben vett témaköréhez, az adatainak tárolásához és ezek biztonságához. Ekkor jönnek a következő kérdések, hogy

• rendelkezésünkre áll megfelelő biztonsági mentés?
• ha bármi történne az informatikai rendszerünkkel, mennyi időn belül és milyen költséggel tudnánk helyreállítani vagy akár reprodukálni azt?
• milyen rendszerességgel készítünk mentést és milyen mélységben állnak rendelkezésre az adatok?
• ha nem biztonsági mentéssel dolgozunk, hanem felhőszolgáltatást veszünk igénybe, minden lényeges adatra és folyamatra kiterjed a szolgáltatás?
• megfelelő titkosítással láttuk el a hozzáféréseket?

Remélhetőleg abban a szerencsés helyzetben vagyunk, hogy informatikai rendszerünk megfelelően működik, és nem kell aggódnunk adataink biztonságáért sem. Ekkor viszont foglalkoznunk kell azzal, hogy az emberi tényező – mint adatbiztonsági kockázat – oldaláról minden szükséges intézkedést megtettünk-e. Végig kell gondolnunk, hogy

• mennyire osztottuk fel a hozzáférési jogosultságokat a rendszeren belül?
• milyen eszközöket használnak munkatársaink a saját informatikai rendszerünkön kívül?
• csak az irodában dolgoznak, vagy távmunka is felmerülhet, ekkor hogyan férnek hozzá az adatokhoz?
• mennyire „szivárgásbiztos” a rendszerünk, nem kell félnünk adatlopástól?
• gondatlan vagy informatikailag képzetlen munkatársaink nem hozhatnak vírusokat, illetve más kártevőket a rendszerbe?
• mindent megtettünk, hogy a titoktartási kötelezettségünket érvényesítsük a munkatársakkal szemben az informatikai oldaláról is?

Az adatbiztonsággal egyidejűleg gondoskodnunk kell a kezelésünkben vagy feldolgozásunkban lévő személyes adatok védelméről. Tekintettel arra, hogy 2018 májusában hatályba lép az Európai Unió új szabályozása, fontos áttekinteni, milyen kérdéseket vethet fel a vállalkozásoknak az új szabályrendszer.

Az adatvédelem témakörében elsőként azt fontos tisztázni, hogy vállalkozásunk milyen pozícióban és milyen adatkörökben lehet érintett. Ehhez végig kell gondolnunk, hogy

• ügyfeleinkkel megkötött szerződéseink tiszta és egyértelmű helyzetet teremtenek?
• csak gazdasági társaságok az ügyfeleink, vagy egyéni vállalkozók, esetleg magánszemélyek is?
• az iratok és a személyes adatok tekintetében mennyi ideig és mit őrzünk meg?
• van-e alvállalkozónk, és a vele kötött szerződésünk mennyiben tisztázza a személyes adatok kezelését?
• tevékenységünk kiterjed a közpénz felhasználására is, és ekkor milyen többletkötelezettségeink vannak?
• milyen személyes adattípusok és milyen mennyiségben kerülnek általunk feldolgozásra?

Ezt követően foglalkoznunk kell az egyes adatkezelési folyamatokkal és részkérdésekkel. Ehhez végig kell gondolnunk az adatbiztonsági feladatainkkal összefüggésben is, hogy

• milyen belső szabályzatokkal rendelkezünk a befogadott személyes adatok kezeléséhez és azokat mikor újítottuk meg utoljára?
• érkezett-e hozzánk hatósági vagy más megkeresés személyes adat kiadása iránt?
• hogyan járunk el, ha ügyfelünk szerződése megszűnik, és adatainak törlését kéri?

A felsorolt kérdések jelentős részét a számviteli szolgáltatóknak fel kell tenni és ezekre választ kell adniuk. A válaszok egy része műszaki természetű, jelentős részükre ugyanakkor az adatbiztonsági és adatvédelmi jog bírósági döntéseken alapuló értelmezése, és az e téren megszerzett gyakorlati tapasztalatból adható válasz.

* * *

A 2017. június 15-16-án megrendezésre kerülő Adózás Európában – XI. Nemzetközi Adókonferencián, – melynek központi témája a szakmát is egyre nagyobb kihívások elé állító digitalizáció – az adószakértő szemszögéből járom körbe a számviteli/adózási szakembereket érintő adatvédelmi és adatbiztonsági kérdéseket! Szeretnéd bővíteni tudásod, kapcsolataid az adózás területén? Nézd meg a gazdag programot, jelentkezz még ma! » Adózás Európában