Szerző: DYB
Tudta, hogy nem tárolhatja a munkáltató a személyi papírok fénymásolatait? Nem kérhet másolatot a diplomából sem azért, hogy a személyi aktába lefűzze? Az Önök telephelyén is vannak térfigyelő kamerák, de nem tudja, hogy milyen felvételt készít és azt meddig őrzik meg? Esetleg a céges gépjárműparkot GPS nyomkövetővel ellenőrzik? Mik az adatkezelés főbb korlátai?
Ha a fenti kérdések kapcsán bármelyik esetben elbizonytalanodik, mindenképp érdemes elolvasnia az alábbi cikket és átgondolni, vajon milyen pontokon ellentétes a cég működése az adatvédelmi szabályozással.
Az egységes európai Adatvédelmi szabályozás 2018. május 25. napjával lép hatályba, erre tekintettel jelenleg nem áll rendelkezésre az elvi előírások gyakorlati értelmezésére vonatkozó anyag. Az európaival nagy hasonlóságot mutató magyar szabályozás, illetőleg a vonatkozó EU-s iránymutatások alapján azonban már most is le lehet vonni következtetéseket, milyen gyakorlatra kell számítani.
Mi minősül személyes adatnak?
Minden az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés személyes adatnak minősül.
Milyen adatokat tarthat nyilván a munkáltató?
A munkáltató jogszabály alapján nyilvántarthatja a munkavállalóknak a munkavégzéshez, illetőleg a munkaviszony fenntartásához szükséges adatait. Erre való jogosultságát egyrészt Munka törvénykönyve, másrészt Info törvény tartalmazza. Fontos azonban, hogy ezen adatok köre véges, így tehát például – bár a munkavállaló gyermekeinek számát a szabadságok számítása miatt nyilvántarthatja – a munkavállaló gyermekeinek nevét és nemét már nem kérdezheti meg és regisztrálhatja adatbázisában.
A szabályozás előírja az adatminimumra törekvés elvét, tehát kizárólag a szükséges adatok rögzíthetők. Bevett szokás, hogy az adatok felvételét úgy oldja meg a HR-es, hogy lemásolja az okmányokat, ez azonban a vonatkozó új szabályozás szerint nem megfelelő megoldás, mivel a személyi igazolvány másolat tartalmazza többek között a munkavállaló fényképét, illetőleg lakcímkártya esetén a személyi azonosítót, amelyek nem szükségesek a munkaviszony fenntartása során.
Egyéb munkahelyi megfigyelés korlátai
Egyre több munkahelyen fordul elő, hogy beléptetőkártya rendszert alakítanak ki a munkaidő-nyilvántartás vezetése érdekében, továbbá vagyonvédelmi célból biztonsági kamerákat szerelnek fel a telephely különböző pontjain. Ezek használata nem tiltott, de szintén csak bizonyos korlátok között alkalmazható. A belépőkártyán például kizárólag speciális esetekben szerepelhet a munkavállaló fényképe, illetve öltöző és étkező nem figyelhető meg kamerával.
Munkahelyi megfigyelésnek minősülhet a munkavállalók emailjeinek ellenőrzése, illetve a céges gépjárművek gps-es követése, hacsak nem indokolható részletesen az ellenőrzés célja és másképp ez a cél nem elérhető.
Adatokhoz való hozzáférés
Szigorú rendelkezések rögzítik és ki kell terjedjen rá a munkáltató belső adatvédelmi szabályzata, hogy a kezelt adatokhoz kik férnek hozzá a cégen belül és meg kell határozni azt is, ha könyvelőnek vagy más partnernek bármilyen személyes adat továbbításra kerül. Felhívjuk a figyelmet, hogy ilyen esetben sem csak a továbbítás tényét kell közölni a munkavállalókkal, hanem azt is, hogy konkrétan ki az személy, aki az adatkezelést végzi.
Meddig lehet tárolni az adatokat?
Lényeges szempont az is, hogy a munkavállaló adatait úgy kell nyilvántartásba venni, hogy abból a szükséges adatok a munkavégzés megkezdésétől megállapíthatók legyenek, és fontos az is, hogy kizárólag addig legyen nyilvántartva, amíg az a cél eléréséhez feltétlenül szükséges. Tehát tíz évvel ezelőtt alkalmazott dolgozóról adatokat már nem jogszerű megtartani, és ezáltal kezelni.
Mit vizsgál a hatóság?
Magyarországon a Nemzeti Adatvédelmi és Információs Hatóság (NAIH) feladat azt vizsgálni, hogy az egyes adatkezelők megfelelő védelmet biztosítanak-e az általuk kezelt adatoknak. A vizsgálat lehet általános jellegű, vagy konkrét bejelentett panasz alapján is indulhat.
A vizsgálat kiterjed arra, hogy az adatkezelés az előírt elveknek megfelelően történik-e, így különösen megfelel-e a jogszerűség, tisztességes eljárás és átláthatóság elvének, célhoz kötött-e az adatkezelés, nem tartanak-e nyilván helytelen vagy szükségtelen adatot, az adatok tárolása megfelelő informatikai és egyéb intézkedéssel védett-e.
Mik a következmények?
Azért javasolt mindenkinek felülvizsgálnia és hatályosítania az adatkezelési gyakorlatát, mert a GDPR az eddigieknél sokkal szigorúbb szankcionálási eszközöket ad a nemzeti hatóságok (Magyarországon a NAIH) kezébe.
2018. május 25. napjától a bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a. A kettő közül a magasabb jelenti a felső határt. Természetesen a NAIH a konkrét bírság összegét számos tényezőtől teszi majd függővé, így figyelembe veszi a jogsértés súlyát, mértékét, az okozott sérelem nagyságát, illetve azt, hogy az gondatlanságból, szándékosságból, netán menthető nemtudásból fakad-e.