Megütheti a bokáját a főnök, ha megfigyeli a dolgozókat

Bár általánosan elterjedt az a vélemény, hogy a GDPR-t elsősorban az olyan hatalmas adatbázisokat építő és azokból üzleti előnyt kovácsoló cégek megregulázására találták ki, mint a Facebook, a Google vagy a webáruházak, fontos tudni, hogy a rendelet ennél sokkal szélesebb érintetti körre vonatkozik. Gyakorlatilag minden vállalkozás végez adatkezelést azzal, hogy kapcsolatba kerül vásárlókkal vagy munkavállalókat foglalkoztat, így a szabályokat nekik is be kell tartaniuk - tájékoztatta a Portfolio-t a Magyar Országos Közjegyzői Kamara (MOKK). Adatkezelésnek minősül a személyes adatok gyűjtése, rögzítése (akár kamerás megfigyelés is), rendszerezése, tárolása, továbbítása, felhasználása, törlése, sőt az azokba való betekintés is.

Tulajdonképpen minden olyan művelet - legyen automatizált vagy manuálisan végzett -, amely akár elektronikusan vagy papíralapon kezelt személyes adatokon történik. A rendelet egyik legfontosabb alapelve, hogy személyes adatot - legyen szó akár email címről, telefonszámról, vagy lakcímről - csak valamilyen céllal lehet kezelni.

Nem lehet csak úgy megfigyelni az alkalmazottakat

Mindez komoly terhet ró a munkáltatókra, ugyanis a jövőben nekik is el kell tudniuk számolni munkavállalóik felé arról, hogy milyen adataikat kezelik és azt milyen célból teszik. Olyan adatot pedig a munkáltató sem kérhet, amelyre egyébként nincsen feltétlenül szüksége. Például csak a munkakör betöltéséhez szükséges adatok, a végzettség, szakképesítés igazolása kérhető a munkavállalótól, de a magánéletére vonatkozó adat már nem.

Természetesen továbbra is a jogos adatkezelés kategóriába tartoznak a munkaszerződés megkötéséhez és fenntartásához, vagy a munkabér fizetéséhez szükséges adatok, de például a munkavállalók kamerás megfigyelése vagy annak monitorozása, hogy az alkalmazott milyen internetes oldalakat nyit meg, csak akkor lehetséges, ha ez a munkáltató bizonyíthatóan jogos érdeke, és erről előzetesen tájékoztatja a munkavállalókat.

Ennek oka, hogy mindkét említett esetben olyan személyes vagy akár a munkavállaló szexuális identitására, vallási meggyőződésére, egészségügyi problémáira utaló, különleges adatokhoz juthat, amelyek kezelésére még szigorúbb szabályok vonatkoznak. A munkáltatóknak arra is figyelniük kell, hogy meddig tárolják az adatokat, ugyanis azokat a munkavállaló jogviszonyának megszűnését követő bizonyos időn belül törölniük kell.

Viszlát, anonim álláshirdetések és vásárolt adatbázisok!

A GDPR emellett az álláshirdetési gyakorlatban is változást hozhat. Állásportálokon gyakran lehet találkozni olyan hirdetésekkel, amelyeknél nem ismert a hirdető munkáltató kiléte. Mivel ilyenkor egy, az álláshirdető oldal által generált email címre várják az önéletrajzokat, a jelentkezőnek fogalma nincs arról, valójában kinek/kiknek adja meg a legszemélyesebb adatait - akár az életkorára, családi állapotára, hobbijára vagy egyéb viselt dolgaira vonatkozó információkat.

Az új rendelet az anonim álláshirdetéseknek is véget vethet, hiszen az adat tulajdonosának joga van tudni, hogy az adatait ki kezeli. Hasonlóképpen befellegzett a vásárolt adatbázisok korszakának is, mert az adatgazda csak abban az esetben adhatja tovább valakinek a személyes adatait, ha minden egyes adat tulajdonosát tájékoztatja erről, és ha az átadás megfelelő jogalappal történik - például az érintettek kifejezetten hozzájárulnak ehhez.

Ki az adatvédelmi tisztviselő, és miért van rá szükség?

A rendelet egyik újdonsága, hogy adatvédelmi tisztviselő alkalmazását írja elő számos, adatkezelést végző szervezet számára. Miden esetben kötelező ilyen személyt kijelölnie a közhatalmi vagy közfeladatot ellátó szerveknek (kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságoknak), azoknak az adatkezelőknek, amelyek fő tevékenységükként rendszeresen és szisztematikusan, nagy mértékben figyelik meg az érintetteket - például olyan programok készítői, internetes vállalkozások, amelyek célja a felhasználó viselkedésének és szokásainak rögzítése -, valamint azoknak, akik nagy számban kezelnek különleges adatokat. Utóbbiba tartozhatnak az egészségügyi szolgáltatók, politikai pártok vagy egyéb olyan szervezetek is, amelyek például hozzájutnak személyek faji, etnikai hovatartozását, politikai véleményét, egészségi állapotát, vallási meggyőződését, szexuális irányultságát tükröző vagy biometrikus adatokhoz.

A hatmilliárdos bírságtól nem feltétlenül kell tartani

Az új szabályok összességében sokkal jobban védik a felhasználók adatait, és a korábbinál lényegesen nagyobb felelősséget várnak el az adatok kezelőitől. Az uniós jogszabály ennek érdekében a gondatlan vagy jogosulatlan adatkezelés esetén akár 20 millió eurós bírságot is kilátásba helyez. Jó hír ugyanakkor, hogy az épp a minap benyújtott törvénymódosítási javaslat szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a jogszabályok első megsértésekor elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik majd.

A törvényjavaslat indoklásából az is kiderül, hogy a magyar kormány elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok elleni fellépést érzi szükségesnek, míg a többi gazdasági szereplő - elsősorban és kiemelten a kis- és középvállalkozások - tekintetében az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét látja indokoltnak alkalmazni.

A cikk a Magyar Országos Közjegyzői Kamara (MOKK) szakmai közreműködésével készült. A közjegyzők nemcsak adatkezelőként, hanem jogi hivatásrendként is fontosnak tartják felhívni az érintettek (és egyben ügyfeleik) figyelmét az új szabályozásból eredő kötelezettségeikre és jogaikra. A MOKK célja, hogy tájékoztató kampányával növelje a jogi ismereteket és erősítse a jogtudatosságot mind az adatok kezelői, mind az adatok tulajdonosai körében.

• Címkék:
• munkaügy,
• Vallalatok,
• mokk,
• közjegyző,
• gdpr