2018. május 25-én hatályba lép az európai unió adatvédelmi rendelete, angol néven a General Data Protection Regulation (továbbiakban rövidítve GDPR), amely egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti adatvédelmi rendelkezéseket, mivel közvetlenül alkalmazandó.
Mivel a munkáltató a munkaviszony során a munkavállalók személyes adatait kezeli, ezért adatkezelőnek minősül, így vonatkozik rá a GDPR. A GDPR szabályainak megsértése esetén bírság szabható ki, melynek mértéke 20 millió euró vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át kitevő összege is lehet.
Jelen cikkünk segítséget kíván nyújtani a munkáltatóknak a GDPR-ra történő gyakorlati felkészülésben, és javaslatokat tesz a követendő eljárásokra.
A GDPR számos informatikai terhet ró a társaságokra, a jövőben (elektronikus) nyilvántartást kell vezetni, az érintett személy kérésére tájékoztatást kell nyújtani az összes általa kezelt személyes adatról, és kérés esetén az adatokat törölni, helyesbíteni, módosítani, stb. kell. A GDPR elsősorban a személyek jogait másodszor pedig a társaságok a kötelezettségeit növeli.
A GDPR hat elv köré épül fel, mely elveket a teljes adatkezelési eljárás és a felkészülés során érdemes szem előtt tartani. A hat elv az alábbi:
a) az adatkezelését jogszerűen és tisztességesen, valamint a munkavállaló számára átlátható módon kell végezni,
b) az adatgyűjtés kizárólag meghatározott, egyértelmű és jogszerű célból történhet, c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, d) az adatvédelmi nyilvántartásnak pontosnak és szükség esetén naprakésznek kell lenni; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse a munkáltató, e) az adatok csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tárolja a munkáltató, és f) az adatkezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. Jelen cikkben röviden ismertetjük a különböző lépéseket amelyeket a munkáltatóknak a GDPR hatálybalépése előtt érdemes megtenniük, annak érdekében, hogy felkészülten várják a 2018. májust. |
- lépés – Felelős kijelölése
Számos társaságnál kötelező lesz adatvédelmi tisztviselő kinevezése, aki megfelelően felelősséget vállal az adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ahhoz, hogy mindezt hatékonyan hajtsa végre. Az adatvédelmi tisztviselő fontos szerepet játszik a GDPR-ban foglalt kötelezettségek értelmezésében és betartásában, az adatvédelmi hatóságokkal való közreműködésben és a perek kockázatának csökkentésében. Még abban az esetben is, amennyiben a munkáltató nem köteles kinevezni az adatvédelmi tisztviselőt, erősen ajánlott olyan személyt kijelölni, aki biztosítja az európai szabályozás betartását.
Már 2018-a előtt érdemes egy adatvédelmi felelőst kinevezni, aki levezényli és koordinálja a GDPR-ra való áttérést, illetve fő kapcsolattartó az IT és a jog között.
- lépés – személyes adatok kezelésének feltérképezése
A GDPR igen szélesen határozza meg a személyes adat fogalmát, mely az alábbi: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; pl. név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező amely alapján a személy azonosítható. Alapvetően a GDPR-t EU-s személyek adatkezelésére kell alkalmazni, azonban területi hatálya igen széles, az EU-n kívül telephellyel rendelkező vállalatokra is vonatkozik, ha az EU-ban kínálnak árukat / szolgáltatásokat, vagy az uniós állampolgárokkal kapcsolatos adatokat feldolgozniuk illetve az érintettek viselkedését vizsgálják.
Annak érdekében, hogy a munkáltató meg tudja állapítani, hogy a GDPR milyen hatással lesz a működésére, fontos annak megállapítása, hogy pontosan milyen adatokat kezel a munkáltató. Ennek érdekében érdemes egy leltárt készíteni az alábbiakról:
- feldolgozott személyes adatok kategóriáiról;
- az adatfeldolgozási műveletek céljairól;
- adatgyűjtés és tárolás időtartama;
- azokról a személyekről (belső vagy külső), akik feldolgozzák vagy kezelik ezeket az adatokat;
- adatok áramlási láncának felderítése: az adatok keletkezésének és végcéljának megállapítása, különösen az Európai Unión kívüli adattovábbítás esetén.
3. lépés – Adatgazdálkodási terv elkészítése
A GDPR a személyeknek számos jogot biztosít a személyes adataikkal kapcsolatosan, pl. kérhetnek tájékoztatást a munkáltató által kezelt adatokról, kérhetik az adatok helyesbítését, törlését, továbbítását, stb. A munkáltatónak általában egy hónapos határideje van ezen kérelmek alapján az intézkedés megtételére. Fontos tehát, hogy a munkáltató cégcsoport szinten napra kész, könnyen kezelhető és egységes nyilvántartással rendelkezzen minden érintett személy adatáról. Az adatok természetesen lehetnek név, lakcím, adóazonosító, TAJ szám, stb., de akár IP cím, kamerás felvételből, elektronikus beléptető rendszerből és GPS nyomkövetőből nyert adat is.
A fenti pontban részletezett leltár alapján azonosítani kell a jelenlegi és a jövőbeli kötelezettségek teljesítéséhez szükséges intézkedéseket. Az új rendelet célja, hogy a szükségesnél tovább ne kezeljék a személyes adatokat, ezért a személyes adatok gyűjtésének és tárolásának minimalizálása fontos szempontnak kell lennie.
Főbb pontokat szükséges figyelembe venni:
- Győződjenek meg róla, hogy kizárólag azokat az adatokat kezelik, amelyek szigorúan szükségesek a célok eléréséhez.
- Át kell vizsgálni minden adatkezelés jogalapját (pl. a személy beleegyezése, jogos érdeke, szerződés, jogi kötelezettség). A jelenlegi szabályok alapján személyes adat akkor kezelhető, ha a) ahhoz az érintett hozzájárul, vagy b) azt törvény vagy helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. Ezt az elvet tükrözi a hatályos Munka Törvénykönyve rendelkezése is, amely alapján a munkáltató a munkavállalóra vonatkozó tényt, adatot, véleményt harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet. A GDPR is elismeri a jogi kötelezettség teljesítéséhez szükséges és a hozzájáruláson alapuló adatkezelést, azonban kizárólag az önkéntes hozzájárulást ismeri el jogszerű adatkezelésként. A GDPR alapján a hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna. A munkáltatók esetén minden munkavállalóra vonatkozó adatkezelés jogalapját felül kell vizsgálni, munkáltatók kevés esetben kezelhetik majd a jövőben az adatokat hozzájárulás alapján, mivel nem tekintendő szabadon adott hozzájárulásnak, ha nem egyenrangú felek között jött létre a jogviszony. A munkáltató a jövőben az alábbi jogalapok alapján kezelheti majd a munkavállaló adatait: a) az adatkezelés a munkaszerződés teljesítéséhez szükséges, b) az adatkezelés a munkáltatóra vonatkozó jogi kötelezettség teljesítéséhez szükséges, c) az adatkezelés a munkáltató vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek a munkavállaló olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. A bérszámfejtés, adóbevallások esetén a munkáltató jogi kötelezettségét teljesíti, ezáltal jogszerűen kezeli az adatokat. Minden egyéb esetben, pl. kamerás megfigyelés, email, internetes adatforgalom követése, GPS nyomkövetés meg kell állapítani, hogy melyik jogcímen kezelheti a munkáltató az adatokat, figyelembe véve a fent felsorolt hat alapelvet.
- Ahogy a hatályos jogszabály, a GDPR is tájékoztatást ír elő adatkezelés esetén. Szükséges átnézni a tájékoztató mintákat, annak érdekében, hogy a GDPR kötelező tartalmi elemeinek megfeleseljenek, illetve győződjenek meg arról, hogy a tájékoztató átlátható, könnyen hozzáférhető, transzparens és érthető információkat tartalmaz, illetve minden egyes adatkezelésre kiterjed.
- Ellenőrizzék a biztonsági intézkedéseket, annak érdekében, hogy az adatvédelem megfelelő szintű legyen.
- Nézzék át az összes munkaszerződés mintát és személyes adatok kezelésével kapcsolatos szabályzatot.
- Világítsák át az alávállalkozókat (pl. könyvelő, bérszámfejtő) és győződjenek meg, hogy az alvállalkozók tisztában vannak az új kötelezettségeikkel. Vizsgálják felül az alvállalkozói szerződés minták rendelkezéseit, amelyek tartalmazzák az alvállalkozónak a feldolgozott személyes adatok biztonságával, továbbításával, feldolgozásával, titkosságával és védelmével kapcsolatos kötelezettségeit.
- Egyeztessenek a biztosítóval, annak érdekében, hogy kiterjesszék a felelősségbiztosítást az adatkezeléssel kapcsolatos esetleges jogsértésekre.
- lépés – Belső folyamatok, minta szerződések és szabályzatok megalkotása
A személyes adatok magas szintű védelmének biztosítása érdekében belső eljárásokat kell létrehozni, amelyek tekintetbe veszik az adatvédelmi szempontokat, figyelembe véve a hat alapelvet és az összes olyan eseményt, amely az adatkezelés során felmerülhet (pl. biztonság megsértése, helyreigazítás vagy hozzáférési kérelmek kezelése, begyűjtött adatok módosítása).
A belső folyamatoknak során az alább tényezőket kell figyelembe venni:
- a személyes adatokat minden folyamatban védeni szükséges, melynek következtében ügyelni kell az adatgyűjtés minimálisra csökkentésére, a hozzájárulás begyűjtésére,
- minden egyes adatkezelés esetén meg kell állapítani a helyes jogalapot,
- megfelelő és folyamatos képzést kell tartani a munkatársakat részére,
- kijelölni az adatkezelésre és továbbításra jogosult személyeket,
- megfelelő monitorozási és adatkezelési szabályzatokat készíteni és módosítani a munkaszerződéseket,
- alvállalkozói szerződés mintákat módosítani,
- a személyek által gyakorolható jogok (hozzáférési jog, helyesbítés, a hordozhatósághoz való jog, a beleegyezés visszavonása, törlés, stb.) eljárásának kidolgozása. Ezen jogok gyakorlását elektronikus úton kell végrehajtani, ha az adatokat ilyen módon gyűjtötték.
- adatvédelmi incidensek esetén eljárás kidolgozása. Az adatvédelmi incidensek esetén, bizonyos esetekben 72 órán belül értesíti az adatvédelmi hatóságot és az érintett személyeket a lehető leghamarabb.
- lépés – A nyilvántartás és dokumentáció megfelelősége
A jövőben minden munkáltatónak kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni. A nyilvántartás minimálisan a társaság nevét és elérhetőségét, az adatkezelés céljait, a személyes adatok kategóriáit, a tervezett törlési határidőket és az olyan címzettek kategóriáit tartalmazza, akikkel a személyes adatokat közlik.
Ezen kívül érdemes folyamatosan frissíteni és hozzáférhetővé tenni:
- a munkavállalók részére készített adatvédelmi tájékoztatókat,
- a munkavállalók beleegyezésére vonatkozó mintákat,
- a jogok gyakorlására vonatkozó eljárásokat,
- alvállalkozókkal kötött szerződés mintákat,
- az adatszegések belső eljárását.
Hozzájáruláson alapuló adatkezelés esetén bizonyítani kell, hogy az érintettek hozzájárulásukat adták, ha az adatfeldolgozás ezen alapul.
Szerző: dr. Zempléni Kinga ügyvéd