„Csak gyakorlatiasan” – munkahelyi adatkezelés a GDPR alapján

Dr. Szűcs László, Dr. Csenterics András előadása, sajtótájékoztató

2017. szeptember 29.

Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-ig biztosít arra lehetőséget a munkáltatóknak, adatkezelésüket a GDPR rendelkezéseinek megfelelően átalakítsák. A munkáltatók nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk.

A megfelelés első lépéseként a jelenlegi kezelt adatvagyont kell felmérni. Ennek körében be kell azonosítani, hogy a munkáltató jelenleg milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi. Az adattakarékosság és a célhoz kötöttség elvéből következik, hogy a munkáltatók a jövőben csak olyan adatokat kezelhetnek, amelyek kezelésére – a GDPR szabályai szerinti – megfelelő jogalappal rendelkeznek. A jogalap a jövőben főként jogszabályon, jogos érdeken, kivételes esetben hozzájáruláson alapulhat. Jogalap hiányában pedig a személyes adatokat törölni kell.

Következő lépésként meg kell tervezni a jövőt. Be kell azonosítani, hogy a jövőben a munkáltató a munkavállalók, esetenként családtagjaik mely személyes adatait kezeli, illetve az adatkezelési folyamatok során ki lesz jogosult a személyes adatokhoz hozzáférni. Arról is döntést kell hozni, hogy amennyiben történik adatkezelés, úgy a személyes adatokat meddig tárolja. Itt természetesen be kell azonosítsa azokat a jogszabályokat, amelyek a munkáltatót a meghatározott személyes adatok őrzésére kötelezik, és ennek alapján kell megállapítani az adattárolás időtartamát. Számos multinacionális vállalat használ egységes HR adatbázisokat, melyekhez nem csupán az Európai Unió országaiból, hanem esetenként azon kívülről is lehet hozzáférése egyes személyeknek. Felül kell vizsgálni ezen adatbázisok szükségességét, illetve amennyiben a munkáltató, illetve anyacége az adatbázis fenntartása mellett dönt, úgy az adatbázis adattartalmát, továbbá a hozzáférést, a tárolás időtartamát át kell alakítani a GDPR szabályainak megfelelően.

Amennyiben a jövőbeni adatkezeléshez a szükséges döntések megszülettek, úgy a munkáltatónak létre kell hozni azokat a belső szabályozásokat, amelyet az érintett munkavállalók számára közérthetően, egyértelműen bemutatják a munkáltatónál irányadó adatkezelési szabályokat. A szabályzatokat úgy kell megalkotni, hogy valamennyi munkavállaló számára egyértelmű legyen, hogy mely személyes adatát kezeli a munkáltató, milyen célból és mely jogalapon és meddig, továbbá a munkáltatónak arról is tájékoztatást kell adni a munkavállalók számára, hogy az adatok törlésével, illetve a helytelen adatok kezelésével kapcsolatosan milyen jogai lesznek. E körben különösen figyelembe kell venni, hogy a GDPR bizonyos típusú adatkezelések esetén több, a jelenlegi szabályozáshoz képest teljesen új jogot biztosít az érintettek részére.

A munkaviszony az egyik legkomplexebb jogviszony. Ennek megfelelően az esetenként évtizedeken átívelő munkaviszonyhoz kapcsolódóan a munkáltatónak nagyon sok és eltérő típusú személyes adatot kell kezelni. Valamennyi személyes adatra, illetve adatkezelésre nem lehet külön adatvédelmi tájékoztatást / szabályzatot készíteni, ezért célszerű egy egységes, a munkavállalók valamennyi kezelés személyes adatához kapcsolódó, keretszabályzatot készíteni. A keretszabályzatot aztán ki lehet egészíteni olyan, speciális adatkezelésekhez kapcsolódó mellékletekkel, mint például a laptop használathoz kapcsolódó adatkezelés, a GPS rendszer által gyűjtött adatok tárolása és kezelése, vagy például a rehabilitációs jellegű munkakörökhöz kapcsolódóan az egészségügyi adatok kezelése.

A szabályzatokat lehet bizonyos fokig standardizálni, azonban a szabályzatoknak a munkáltatónál alkalmazott egyedi jellegű adatkezelési folyamatokra kell épülnie és ebben a körben szinte nincsen két teljesen azonosan működő munkáltató.

A szabályzatok elkészültét követően a munkáltatónak figyelmet kell arra fordítania, hogy a munkavállalók az adatkezelés új szabályait ténylegesen megismerjék. Ennek leghatékonyabb módja az oktatás, amely lényegében a szabályzatokban összefoglalt adatkezelési szabályok bemutatását jelenti. Emellett a munkáltatónak adatvédelmi tisztviselőt is ki kell jelölnie annak érdekében, hogy az adatvédelmi szabályok betartása kellő hatékonysággal ellenőrizhető legyen, továbbá 250 munkavállaló felett nyilvántartást kell készítenie az adatkezelésével kapcsolatosan.

A GDPR szabályainak végrehajtása azonban nem csupán papírmunka. Az egyes IT rendszerek adatbiztonsági megfelelősségét is felül kell vizsgálni, továbbá olyan elsőre egyszerűnek, a gyakorlatban viszont bonyolultnak minősülő feladatot kell megoldani, mint a már nem szükséges, vagy jogalap nélkül kezelt adatok (lehetőleg automatikus) törlése, esetleg anonimizálása, vagy például az adathordozhatóság feltételeinek kialakítása.

A szükséges intézkedéseket haladéktalanul célszerű megkezdeni, annak ellenére, hogy a GDPR bevezetéséhez kapcsolódóan még számos magyar jogszabály vár módosításra. Mivel azonban a rendelet alapján beazonosíthatóak a munkáltatói kötelezettségek, továbbá a rendelet Magyarországon is közvetlenül végrehajtható, ezért már most meg lehet kezdeni az adatvagyon felmérését, illetve az munkáltatói adatkezelés új szabályozásnak megfelelő átalakítását.

Megosztás