Információvédelem menedzselése – a Hétpecsét Egyesület 80. szakmai fóruma
8 perc olvasás
A Hétpecsét Információbiztonsági Egyesület „Információvédelem menedzselése” LXXX. szakmai fóruma 2018. március 7-én zajlott a budapesti Lurdy Konferencia-és Rendezvényközpontban.
Csuka Dénes egyesületi titkár bevezetőjében új támogatók csatlakozásáról szólt, majd ismertette, az egyesület vezetése első alkalommal ítélte oda a szervezet munkáját kiemelkedő mértékben segítők számára az Egyesület Tiszteletbeli Örökös Pártoló Tagja címet, az elismerésben az egyesület megalakítása óta az információ biztonság ügyét szolgáló Keselyák Péter és Potoczky András részesült.
A GDPR unióban kötelező alkalmazásának közelgő bevezetéséhez kapcsolódott dr. Pók László adatvédelmi jogász előadása, Adatkezelés a munkaviszony megszűnése után a GDPR tükrében címmel. https://www.adatvedelmirendelet.hu/
Milyen adatvédelmi utóhatásokkal kell számolni, mire kell figyelni a munkaviszony megszűnése után?
A GDPR (általános adatvédelmi rendelet) 2018. május 25-től közvetlenül alkalmazandó az EU valamennyi tagállamában, így az adatvédelem a mindennapok része lesz, így kell rá tekintenünk. A Munka Törvénykönyve (MT) is tartalmaz néhány olyan rendelkezést, amit az adatkezeléssel kapcsolatban figyelembe kell venni. Speciális szabályokat tartalmaz speciális viszonyra. A GDPR ismert szövegéhez egyre több jogi értelmezés, útbaigazítás jelenik meg. A magyar belső jogi környezet vonatkozó alkalmazkodása még nem kristályosodott ki. augusztus végén, szeptember elején jelent meg egy törvénymódosítás-csomag, amit az Igazságügyi Minisztérium (IM) tett közzé, benne az informatikai törvényre vonatkozó elképzelésekkel.
A csomag elsősorban az info-törvény módosítására összpontosított, nagyrészt a bűnügyi adatkezelésre vonatkozó irányelvekre, az ágazati szabályokkal kevésbé foglalkozott. Ezt a jogszabály-tervezetet lehetett véleményezni, sok szakmai szervezet meg is tette. Felmerült, hogy az ágazati szabályokhoz is jobban hozzá kellene nyúlni.Vonatkozó szakmai munka folyik a szakmai szervezetek, ill. a minisztériumok között a GDPR megfelelő, konzisztens alkalmazására. Mindenképpen szükség van május 25-e előtt az új adatvédelemre vonatkozó minimális szabályozásokra.
A munkajogviszonnyal kapcsolatosan is sok jogi értelmezési kérdéssel találkozhatunk, amikor a GDPR szövegéhez, szelleméhez, irányaihoz nem feltétlenül igazodó szabályokat és azok alapján kialakuló gyakorlatot kell összefésülni. Az MT tartalmaz egy szabályt, mely szerint; olyan adatok kezelhetők a munkaviszonnyal kapcsolatban, amelyek a munkaviszony létesítése, teljesítése, vagy megszűnése szempontjából lényegesek. Ez a szükségesség, arányosság, célhoz-kötöttség elvének lefordítása a munkaviszony világára. Amikor a munkaviszony megszüntetésre kerül, mérlegelnünk kell, meg kell vizsgálnunk, melyek azok az adatok, amelyekre ehhez szükség van, ill. milyen adatok azok, amelyeket tovább őrízhetünk, s milyen jogalapon, milyen célból tehetjük ezt.
Bizonyos adatok szerződés-teljesítéshez szükségesek, ezeket tovább kell őríznünk, ilyenek pl. a munkaszerződésből eredő igényekkel kapcsolatos adatok, de lehetnek tanulmányi szerződések, versenytilalmi megállapodások, s lehetnek ehhez kapcsolódó személyes adatok is. Jogi kötelezettségek teljesítéséből is fakadhat további adatkezelési kötelezettség, pl. TB-vel, bérszámfejtéssel összefüggő adatkezelések, ezek is túlnyúlnak a munkaviszony élettartamán. Az egyik legnagyobb kihívás, legnehezebb feladat azon megőrzési idők kijelölése, amelyeken belül megőrízzük az adatokat, tovább kezelhetjük a személyes adatokat. Van néhány támpont, de nagyon szerteágazó a vonatkozó rendszer. A munkaviszonyból fakadó elévülési idő 3 év, ami eltér az általános polgárjogi viszonyból származó 5 évtől. Amennyiben olyan adatokról van szó, amelyek adózási kötelezettséggel függenek össze, ott az adózási elévülési időt vehetjük figyelembe. Számviteli vonatkozású adat esetén szóba jöhet a 8 éves határ, a nyugdíjmegállapítási iratok kapcsán pedig elfogadott álláspont, hogy ezeket nem selejtezzük, mivel akár évtizedek múltán is szükség lehet rájuk.
Ezen túlmenően, minden munkáltatónak saját szervezete adatkezelése ismeretében kell meggondolni, hogy egyes adatok, dokumentumok milyen időtartamra őrizendők meg. Ezzel kapcsolatban, az elszámoltathatóság elvéből fakadóan, a munkáltató, mint feladatkezelő tartozik általános felelősséggel ezen időtartam helyes megállapításra. A munkaviszony megszűnése kapcsán felmerülhet, hogy ha elmegy a munkavállaló és új munkaviszonyt létesít, akkor róla milyen adatokat adhatunk ki, pl. az új munkáltató referencia igényének kielégítésére.
Mennyire lehetünk közlékenyek, segíthetünk-e az új munkáltatónak?Létezik erre egy speciális szabály; harmadik személlyel csak a törvényben meghatározott munkáltató esetén közölhető adat. A megkeresés csak akkor teljesíthető, ha a munkavállaló hozzájárulása párosul ehhez. Ez igaz fordítva is; ha új munkavállalót szeretnénk foglalkoztatni, s a pályázóknál elkezdünk érdeklődni, ugyanezzel a szabállyal találkozunk. A Munka Törvénykönyvének van egy speciális intézménye is, amelyet korábban működési bizonyítványként is emlegettek, az új törvényben ez írásbeli értékelésként szerepel. A munkavállaló kérheti a munkáltatótól legalább egy évnyi munkaviszony megszűnésekor. Kötelező kiadni részére egy éven belül, a hozzá fűződő információk megőrzési ideje is egy év. A munkaviszony megszűnésekor tehát körültekintően kell bánni a törléssel.
Új kötelezettségek merülnek fel a GDPR alkalmazásakor, ilyen az elszámoltathatóság elvének való megfelelés. Mindennek az alapja, hogy mindenről számot tudjunk adni. Belső szabályzatokkal kell a megfelelést biztosítani. A megőrzési időket pl. érdemes valahol rögzíteni, a selejtezési szabályokat rögzíteni, s azután ennek megfelelően eljárni, hogy vizsgálat, hatósági ellenőrzés során is számot tudjunk adni a személyes adatokkal való bánásmódról. A privacy by design („beépített adatvédelem“) azért fontos itt, mert ezek olyan ismétlődő kérdések, ismétlődő esetek, melyekre fel tudunk készülni. Amennyiben adatkezelési rendszerünk, folyamataink kialakításánál az elejétől kezdve figyelembe vesszük az adatvédelem szempontjait, akkor sokkal könnyebben tudjuk ezeket is kezelni.
http://archiv.uni-nke.hu/uploads/media_items/ppb-2015-1bel-3137.original.pdf
https://en.wikipedia.org/wiki/Privacy_by_design
A törléshez való jog.
Nem csak a munkaviszony megszűnésekor vetődik fel az érintett jogok gyakorlása. A GDPR tartalmaz idevágó, a munkavállalót is érintő jogokat. Egy munkaviszony megszűnés kapcsán felmerülhet, a munkavállaló azt mondja; megszűnt a munkaviszonyom, töröljön minden adatot rólam a munkaadó, a létezésemről se tudjon a jövőben. Az adózási, TB, számviteli szabályok és a munkaviszonyból eredő igények miatt azonban egy ilyen kérést nem tud teljesíteni a munkáltató, hiszen jogszabályi kötelezi bizonyos adatok megőrzésére. Viszont, ha vannak olyan adatok, amelyek nem esnek ebbe a körbe, azokra a törvényi előírásokat teljesíteni kell. Például, ha hozzájárulás alapján kezelhet a munkáltató valamilyen munkavállalói adatot, akkor azt adott esetben törölni kell, pl. a karácsonyi céges bulin készült fényképeket.
Az adathordozhatósághoz való jog azt jelenti, hogy az érintett a rá vonatkozó, a vállalati adatkezelő rendelkezésére bocsátott személyes adatokat géppel olvasható formátumban megkaphatja az adatkezelőtől, ha ezt kéri. Azt is kérheti, hogy az adatkezelő ezeket az adatokat egy másik adatkezelőhöz továbbítsa. Ez akkor merül fel, ha az adatkezelés hozzájáruláson, vagy szerződésen alapult és az adatkezelés automatizált módon történik. Munkaviszony kapcsán a munkaszerződés teljesítésével, munkaszerződésen alapuló adatkezelések jöhetnek szóba elsősorban, de csak akkor, ha ezeket valamilyen automatizált módon kezeli a munkáltató. Ilyenkor felmerülhet az adathordozhatóság a munkaviszonnyal összefüggésben. A kérdés hosszabb távon vetődhet fel; a munkavállaló egyik munkáltatótól egy másik munkáltatóhoz vihet bizonyos adatokat bizonyos adminisztrációs folyamatok egyszerűsítése végett. Gyakorlati szerepének súlya még nem ismert. A BT 29-es európai adatvédelmi munkacsoport adathordozhatóságról szóló iránymutatásában foglalkozott már az adathordozhatóság HR témakört érintő kérdéseivel.
A hozzáféréshez való jog viszonylag újnak számít a GDPR-ben. A munkavállaló kérhet egyfajta tájékoztatást arról, hogy a volt munkáltató milyen adatokat, milyen célból tart róla nyilván és ezekkel mit csinál. Másolatot is kérhet az ott lévő adatokról, az egyszeri kérést teljesíteni kell, további esetekben költség számítható fel. Fel kell készülni rá, hogy a munkavállalók is egyre tudatosabbá válnak a tárgyalt témakörben, ezért legyenek végiggondolt munkafolyamatok az érintett igények kielégítésére. Proaktív módon, tájékoztatási kötelezettség terheli a munkáltatót az adatkezeléssel kapcsolatban. A transzparencia, a megfelelő tájékoztatás nyújtására a munkaviszony minden szakában, minden adatkezelési folyamathoz kapcsolódón törekedni kell. A legjobb joggyakorlat, ha a munkáltató ennek megpróbál megfelelni.
Seres István András, a Blockchain Competence Center munkatársa a blokklánc témakörről szólt előadásában.
https://hu.wikipedia.org/wiki/Blokklánc
http://blockchaincc.com/hu/
http://blockchaincc.com/hu/mi-a-blockchain/
Balázs András, GE Digital Director – Digital Operations, előadása a mobil eszközkezelésről (Mobile Device Management) s annak biztonsági kihívásairól szólt egy nagy cég életében.
https://www.linkedin.com/in/andrasbalazs
https://www.ge.com/digital/products/mobile-industrial-internet-apps
https://en.wikipedia.org/wiki/Mobile_device_management
Nagy Beatrix Havaska (Szerencsejáték Zrt.) vezető biztonsági és ellenőrzési menedzser/ belső adatvédelmi felelős előadása Hatásvizsgálat a gyakorlatban címmel zajlott.
Harmat Lajos
