A GDPR-kompatibilis munkáltató
11 perc olvasás
Előrebocsátjuk, hogy annak a munkáltatónak, aki az Infotv. vonatkozó rendelkezéseinek és a hatósági ajánlásoknak már eddig is maradéktalanul megfelelt, pánikra nincs oka. Általánosságban elmondható, hogy a jogszabály célja a személyes adatok fokozottabb védelme, kezelésük átláthatóbbá tétele és a velük való rendelkezés megkönnyítése – kezdi friss bejegyzését Pentz Edina, az RSM Hungary bérszámfejtési vezetője.
A 2018. május 25-től alkalmazandó általános adatvédelmi rendelet (GDPR) számos változást hozott a természetes személyek adatainak kezelése terén. A rendelet kötelezően alkalmazandó az Európai Unió területén élők személyes adatait kezelőkre, így többek között az őket foglalkoztató munkáltatókra és a személyes adataikat feldolgozó bérszámfejtőkre is. Ebben a bejegyzésben a rájuk vonatkozó legfontosabb szabályokat tekintjük át, hogy átfogó képet adjunk az e területet érintő teendőkről a GDPR-kompatibilitás felé vezető úton.
Előrebocsátjuk, hogy annak a munkáltatónak, aki az Infotv. vonatkozó rendelkezéseinek és a hatósági ajánlásoknak már eddig is maradéktalanul megfelelt, pánikra nincs oka. Általánosságban elmondható, hogy a jogszabály célja a személyes adatok fokozottabb védelme, kezelésük átláthatóbbá tétele és a velük való rendelkezés megkönnyítése.
Pontosan mit takar a személyes adat és az adatkezelés?
A személyes adat a természetes személy közvetlen vagy közvetett azonosítására alkalmas információt takar. Ez lehet név, azonosító (TAJ szám),helymeghatározó adat (GPS-koordináta),de fizikai (súly),szociális (családi állapot, eltartottak száma),vagyoni (munkabér) vagy egészségügyi (betegségek) információ is. Külön kategóriát képeznek az ún. különleges adatok (vallás, szexuális orientáció vagy valamely kisebbséghez való tartozás),ezekre még szigorúbb szabályok vonatkoznak.
Az adatkezelés gyűjtőfogalom, takarhat többek között rögzítést (állásinterjúra történő jelentkezést követően),tárolást (személyi anyagban),összekapcsolást (más forrásból származó adattal),továbbítást (a szociális rendszerek felé) és törlést is. Történhet papír alapon vagy digitális formában. Alapkövetelmény, hogy az adatkezelés csak jogszerűen végezhető. Ezt megalapozza többek között az érintett teljes körű és közérthető tájékoztatását követő, kifejezett és bizonyíthatóan önkéntes, célhoz kötött hozzájárulása; az adatkezelő (pl. a munkáltató) jogi kötelezettségének teljesítése vagy jogos gazdasági érdekének érvényesítése.
Jogos gazdasági érdek és adatvédelmi érdek ütközésekor mi a teendő?
Az érdekek összevetése a GDPR-ben nevesített ún. érdekmérlegelési teszt elvégzése útján történhet. A jogos gazdasági érdek érvényesítése alól kivétel, ha a munkáltató jogos gazdasági érdeke fennáll ugyan, de vele szemben elsőbbséget élvez a dolgozó adatainak védelméhez fűződő érdeke.
A jogos gazdasági érdek mint az adatkezelés jogszerű alapjának bevezetése könnyebbséget jelent a munkáltatók oldalán. Bizonyos adatok jogszerű kezeléséhez már nem szükséges a korábbi szabályozás által megkövetelt, szigorú és kimondott, külön az adott adat kezelését lehetővé (esetleg kötelezővé) tévő jogszabályi felhatalmazás. Ehelyett elegendő hozzá a körültekintően elvégzett érdekmérlegelési teszt eredményeképp helyesen megállapított jogos gazdasági érdek.
A munkáltatónak a dolgozó szerződéskötéshez szükséges természetes személyazonosító adatai, továbbá a munkaköri alkalmassági vizsgálat során keletkezett egészségügyi adatai kezelése jogszabályi kötelezettsége, ezek jogszerű kezeléséhez praktikusan nem szükséges a leendő munkavállaló külön hozzájárulása. Jogos gazdasági érdeke fűződik emellett a munkakör betöltéséhez szükséges képesítést tanúsító bizonyítványok, tanulmányi adatok kezeléséhez és természetesen a munkavállaló részére folyósított munkabérrel kapcsolatos információk kezeléséhez is, külön hozzájárulás bekérése ezekben az esetekben sem szükséges.
Ezzel szemben a dolgozó esetleges laktózérzékenységével kapcsolatos információ kezelése már nem jogos gazdasági érdeke a munkáltatónak, mivel az erre tekintettel járó személyi adókedvezmény érvényesítése, sőt már ennek a foglalkoztató tudomására hozatala is a dolgozó saját döntésétől függ. Ez az egészségügyi adat így csak az érintett hozzájárulása esetén és az alapján kezelhető. Hasonló a helyzet például a dolgozó közösségi oldalakon tárolt adatlapjával, tevékenységével kapcsolatban. A munkáltató ennek kezeléséhez fűződő jogos gazdasági érdeke már nehezen áll meg, ezért ez az informatikai adat alapesetben szintén csak az érintett hozzájárulása alapján kezelhető. A képzeletbeli számegyenes másik végén a dolgozó általában legféltettebb, legintimebb adatai (politikai, vallási, világnézeti adatok) találhatóak, amelyek kezelése főszabály szerint tilos.
Fontos megjegyezni, hogy az itt említett példák csupán előzetes, jogalkalmazói jogszabályértelmezés eredményei. Mivel a kapcsolódó bírói joggyakorlat szinte még teljesen hiányzik, elképzelhető, hogy az igazságszolgáltatási szervek munkájuk során a jövőben egyedi ügyekben akár ezekkel ellentétes következtetésekre is juthatnak.
Az adatkezelés célhoz kötött, az adatok védelme az adatkezelő feladata
További követelmény az adatkezelés célhoz kötöttsége, amelyet a munkáltató megsérthet például azzal, ha a dolgozó egyébként jogszerűen tárolt egészségügyi adatait minden további nélkül ügyfélközvetítés céljából egy gyógyszerforgalmazó felé továbbítja. Az adattakarékosság elve a minimálisan szükséges adatokra történő szorítkozást, az integritás elve pedig az adatok védelmét, biztonságos tárolását és kezelését írja elő a munkáltató részére.
Az adatok biztonsága érdekében a munkáltatónak kockázatértékelést is végre kell hajtania, és ha ennek alapján szükséges, meg kell hoznia a személyes adatok megfelelő szintű védelmének biztosításához szükséges fizikai és informatikai intézkedéseket. Ennek során kiemelten figyelnie kell az információk véletlen vagy jogellenes törlésének, továbbításának vagy elvesztésének kockázatára és ezek megelőzésére. Ide sorolható például a személyügyi anyagok tárolására alkalmas zárható (páncél-)szekrény beszerzése; a használt szerverek, közös meghajtók titkosítása; az ezekhez való hozzáférés szabályozása; azonosításon alapuló beléptető rendszerek kiépítése stb. Olyan szervezeteknél, amelyek fő tevékenységi körükben, nagy számban kezelnek különleges adatokat (ilyen lehet például egy közvéleménykutatással, egészségügyi szolgáltatásokat vagy akár internetes társkereső szolgáltatást nyújtó cég) mindezek mellett adatvédelmi tisztviselő kijelölése vagy megbízása is kötelező.
Ha a személyes adatokhoz illetéktelen hozzáfér, jelenteni kell az érintett és a hatóság felé
Ha a kezelt adatok biztonsága olyan módon sérül, hogy az a dolgozói adatok megsemmisülését, törlését, megváltoztatását vagy az azokhoz való jogosulatlan hozzáférést eredményezi, adatvédelmi incidensről beszélünk. Ennek körülményeit, kitérve azok várható következményeire is, a munkáltató köteles legkésőbb a tudomásszerzést követő 72 órán belül bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH),és értesíteni róla minden érintett dolgozót is.
Adatvédelmi incidenst okozhat már egy egészen apró figyelmetlenség is: például a dolgozó táppénz papírjának a bérszámfejtővel azonos vezetéknevű ügyfél részére való kiküldése e-mailben. Ha az érintett dolgozó az incidens nyomán vagyoni vagy nem vagyoni kárt szenved, felmerülhet a munkáltató kártérítési felelőssége is – érdemes ezért ezen a téren rendkívül körültekintően eljárni.
Biztosítandó, hogy a munkavállaló az adatairól bármikor tájékozódhasson, módosítson
A munkavállalót számos jog illeti meg a saját, munkáltató által kezelt adataival kapcsolatban. Az adatkezelés előtt és annak során végig tájékoztatást kérhet róluk, amelyet a munkáltató indokolatlan késedelem nélkül, és főszabály szerint ingyenesen köteles teljesíteni. A dolgozót – helytelen vagy megváltozott adat esetén – megilleti a helyesbítés, valamint – a kötelezően megőrzendő adatok kivételével – a “felejtés”, vagyis az adat törlésének joga is. Ez a gyakorlatban azt is jelentheti, hogy az egy álláshirdetésre jelentkező, de később ki nem választott pályázó kérheti akár a teljes személyi anyagának (e-mailes jelentkezés és minden melléklete; elérhetőségek; az előzetes telefonos időpontegyeztetésről és a későbbi állásinterjúról készült feljegyzések stb.) törlését – még akkor is, ha ennek kivitelezése a különböző archív állományok, biztonsági mentések stb. miatt viszonylag nehezebben kivitelezhető. Ezen felül, ha az adatkezelés a dolgozó hozzájárulásán alapul, jogosult azt bármikor visszavonni, ilyenkor az érintett adat a továbbiakban nem kezelhető.
Bérszámfejtők, mint adatfeldolgozók kötelezettségei a GDPR szerint
A munkaviszony szereplői mellett ki kell térnünk azokra is, akik a munkavállalók személyes adatait “külsős”-ként, vagyis az adatkezelő nevében és megbízásából kezelik. Ilyenek például az elektronikus beléptető rendszerhez megrendelt kártyát legyártó szolgáltatók és a bérszámfejtést végzők is – tekintet nélkül arra, hogy természetes- vagy jogi személyekről van-e szó.
Velük szemben szintén követelmény, hogy a rendeletben nevesített biztonsági és titoktartási feltételeket garantálják. Az ő adatfeldolgozásuknak az adatkezelővel kötött írásbeli szerződésen kell alapulnia, és feladatuk ellátása során – külön erre irányuló, írásbeli felhatalmazás hiányában – helyettest nem vehetnek igénybe. Bérszámfejtők esetén a jogszerűség kettős feltétele tehát először is a munkáltató jogszerű adatkezelése, másodszor a munkáltató és a bérszámfejtő közötti, a GDPR-ben meghatározott feltételeknek megfelelő szerződés megkötése. Ha az adatkezelés befejeződik (praktikusan, ha a munkáltató és a bérszámfejtő egymással szerződést bont) a kezelt adatokat a bérszámfejtő a munkáltató döntése alapján köteles maradéktalanul törölni, vagy a munkáltató részére visszaszolgáltatni. A rendelet tehát megakadályozza, hogy a jogszerűség követelményét az adatkezelési/-feldolgozási jogosultság tovább származtatásával ki lehessen játszani.
Az adatfeldolgozóként eljáró bérszámfejtő is köteles megfelelően dokumentált kockázatértékelést (adatvédelmi hatásvizsgálatot) végezni és az adatok megfelelő védelme érdekében a munkáltató esetében fentebb már kifejtett biztonsági intézkedéseket meghozni.
Mivel a bérszámfejtő fő tevékenységi körében kezel jellegüknél fogva az érintettek rendszeres és nagymértékű megfigyelésén alapuló adatokat (így többek között egészségügyi- és béradatokat),kötelező adatvédelmi tisztviselőt (data protection officer – DPO) kijelölnie vagy megbíznia és adatait közzétenni, valamint a NAIH felé bejelenteni.
A GDPR részletes követelményeket támaszt az adatvédelmi tisztviselő személyével és képzettségével kapcsolatban és előírja, hogy fő feladata a hatóságokkal (első sorban a NAIH-hal) történő kapcsolattartás, valamint az adatfeldolgozó konkrét adatkezelést végző munkatársainak segítése tájékoztatással és szakmai tanácsadással.
Az adatfeldolgozó egyebekben köteles az adatkezelővel a GDPR-szabályok betarthatósága érdekében együttműködni, így például az ő tevékenysége során bekövetkezett adatvédelmi incidenst egyenesen az adatkezelő felé bejelenteni. Ebben az esetben az adatkezelő továbbítja majd az adatokat a NAIH felé – az esetleges kártérítési felelősség azonban az adatfeldolgozót fogja terhelni.
Akár adatkezelő munkáltatóként, akár adatfeldolgozó bérszámfejtőként tevékenykedünk, a vállalkozásunk GDPR-kompatibilitásának személyre szabásával megbízott jogász mellett érdemes figyelemmel kísérni a NAIH folyamatosan publikált, GDPR-hez kapcsolódó állásfoglalásait. Ezek egyrészt útmutatóul szolgálhatnak jogértelmezési kérdésekben (“Állásfoglalás Facebook oldalak vizsgálatáról”; “Állásfoglalás munkahelyi test-kamerázással kapcsolatban” stb.),másrészt tükrözik a hatóság viszonyulását is a megváltozott jogi környezethez. E téren mára körvonalazódott, hogy a komoly érvágást jelentő bírságolás lehetőségével hatóság egyelőre nem kíván élni, a célja elsősorban – minél több adatkezelő vonatkozásában – a jogkövető magatartás kialakítása. A jogsértés első ízben történő feltárásakor a hatóság “elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik” majd. A médiában a témával kapcsolatban leggyakrabban emlegetett “sosem látott szigor” így egyelőre még várat magára.
Az eredeti írás megjelent:
https://www.rsm.hu/blog/2018/06/a-gdpr-kompatibilis-munkaltato