Lementjük és lefűzzük: praktikus megfontolások alapján működött a könyvelő

A hatósági vizsgálat során a könyvelőtársaság elismerte, hogy a kérdéses listában ügyfeleihez tartozó személyes adatok találhatók. A papíralapú listán lévő adatok kezelésének céljaként arra hivatkozott, hogy az a társaság és ügyfelei között létrejött számviteli, könyvvizsgálói és adószakértői tevékenységre irányuló szerződésekben foglalt kötelezettségek teljesítése, illetve az ügyfelekkel való kapcsolattartás. Úgy érvelt, hogy ezeket az adatokat a társaság ügyfelei önként hozzák a társaság tudomására, az egyes megbízási szerződések aláírása során a hozzájárulásukat is adják az adatok ilyen célú kezeléséhez.

A lista adatait a társaság folyamatosan frissíti. A frissítés során a listát egy példányban kinyomtatják, azon a nyomtatás dátumát kézírással rögzítik, és a többi listával együtt, időrendben lefűzve egy elzárt mappában őrzik. Erre a későbbi esetleges adatellenőrzésekre tekintettel van szükség. Ha véletlenül további példányokat is kinyomtatnának, azokat iratmegsemmisítővel kell „ledarálni”.

Az adatok tárolása vonatkozásában a társaság képviselője elmondta, hogy a személyes adatokat az iroda saját szerverén tárolja, amelyhez kizárólag az alkalmazottak és az IT-feladatok ellátásával megbízott személy férhetnek hozzá. A tárhely egyebekben jelszóval is védett.

Az irodának kilenc alkalmazottja van, az adatbázishoz történő hozzáféréseket azonban nem naplózták, jelszókövetelmény-rendszert nem alakítottak ki, a könyvelőtársaság információbiztonsági szabályzattal nem rendelkezett.