Személyes adatot mindenki kezel

A tavaly elfogadott, ennek megfelelően jelenleg már hatályos Általános Adatvédelmi Rendelet (General Data Protection Regulation – GDPR) 2018. május 25-ig biztosít arra „haladékot” a cégeknek, hogy az adatkezelési folyamataikat az új szabályozásnak megfelelően átalakítsák. Más kérdés, hogy a teljes átálláshoz még számos magyar jogszabályt módosítani kell, ugyanis a hatályos magyar jogszabályok nem mindenben felelnek meg az uniós rendeletnek, esetenként azzal ellentétes rendelkezéseket tartalmaznak. Mivel azonban a GDPR magyar fordításban mindenki számára elérhető, ezért már most beazonosíthatóak azok az alapelvek, célok, és ennek megfelelően ellátandó feladatok, amelyek segítésével a cégek a megfelelőséget biztosíthatják.

_{Dr. Szűcs László}

_ügyvéd

_{Réti, Antall és Társai Ügyvédi Iroda}

Amennyiben a GDPR rendelkezéseit figyelmesen átolvassuk úgy megállapítható, hogy minden munkáltató egyben adatkezelő, és a munkavállalók az adatkezelés szempontjából érintettnek minősülnek. A munkaviszony ugyanis természetszerűleg egy magánszemély munkavállalóval jön létre, így a vele kapcsolatosan végzett adatkezelés egyben személyes adatok kezelésének is minősül, és így kiterjed rá a GDPR szabályrendszere.

Ugyan a munkaviszonyhoz kapcsolódó adatkezelést számos esetben jogszabály írja elő, azonban még a jogszabályon alapuló adatkezelés során is meg kell felelni a GDPR speciális feltételrendszerének. Így az adatvédelmi feltételeknek megfelelően kell átalakítani a belső folyamatokat, szabályokat (írásbeli tájékoztatást) kell kiadni az adatkezeléshez kapcsolódóan és gondoskodni kell arról, hogy a lefektetett szabályokat a munkavállalók mint érintett személyek megismerjék.

Alapjog az információs önrendelkezés

A GDPR központi gondolata, hogy a magánszemély adataihoz kapcsolódó joga, azaz az információs önrendelkezési jog, egy olyan alapjog, amely csak meghatározott esetekben és a szükséges mértékben korlátozható. További központi alapelv, hogy amennyiben a korlátozásra sor kerül, úgy az érintett személyt a korlátozás körülményeiről tájékoztatni kell, illetve megfelelő jogorvoslatot kell számára biztosítani, amennyiben az adatkezelésre nem a jogszabályi feltételek figyelembevételével kerül sor.

A személyes adat fogalma rendkívül tág, idetartozik lényegében minden olyan adat, amely alapján a természetes személy munkavállaló – közvetlen, vagy közvetett módon – beazonosítható. A munkaviszony körében a munkáltató hozzávetőlegesen mintegy száz különböző személyes adatot kezel, kezdve a munkavállaló nevével, lakcímével, vagy személyi okmányainak azonosító adataival, egészen az egészségre vonatkozó különleges adatokig, vagy például a céges, GPS-rendszerrel felszerelt gépkocsi használata következtében birtokába jutó geolokációs adatig.

Az új szabályozás szerint a munkáltatóknak a jövőben valamennyi hivatkozott adat vonatkozásában el kell tudni számolni. A munkáltatónak válaszolnia kell olyan kérdésekre, hogy az adatkezelésre milyen célból és milyen jogalapon kerül sor, vagy például miért van szükség arra, hogy az adatokat éveken át megőrizzék. A fenti kérdésfelvetésekből az is következik, hogy csak olyan személyes adatok kezelésére kerülhet sor, amelynek gyűjtésére, kezelésére a munkáltatónak megfelelő jogalapja van. A „megfelelő jogalap” nem csupán az adatkezelésre vonatkozó konkrét jogszabályi kötelezést jelenti, hanem jogalap lehet például a munkaviszonyból eredő egyes kötelezettségek teljesítése, illetve idesorolható az az esetkör is, amikor a munkáltató méltányolható érdeke biztosít megfelelő jogalapot az adatkezeléshez.

A múltban számos cég alkalmazta azt a megoldást, hogy már a munkaszerződésben megállapodott a munkavállalóval személyes adatainak kezeléséről. Ez a „megoldás” a jövőben bizonyára nem lesz elégséges. A magyar felügyeleti hatóság 2016 végén kiadott, munkahelyi adatkezelésekre vonatkozó iránymutatásából is egyértelműen megállapítható, hogy a munkaviszony esetén a munkáltató és a munkavállaló egymással alá- fölérendelt helyzetben vannak, ennek megfelelőn a hozzájáruláson alapuló adatkezelés esetén szükséges „önkéntesség” csak igen kivételes esetben állapítható meg. A munkaszerződésben szerepeltetett, általános jellegű felhatalmazás tehát nem tekinthető olyan önkéntes hozzájárulásnak, amely alapján a munkáltató valamennyi, a munkaszerződésben egyébként részletesen fel nem sorolt személyes adatot kezelheti.

Mi legyen a régi és az új adatokkal?

A GDPR megfelelőség érdekében a munkáltatóknak első lépésben fel kell mérniük, hogy egyáltalán milyen személyes adatokat kezelnek, és az adatkezelésekre milyen okból van szükség. Ezt követően ki kell szűrni azokat az adatkezeléseket, amelyekre a munkáltatónak nincsen jogalapja, vagy amelyek tekintetében az adatkezelés célja már megszűnt. Ez a feladat számos cég számára gyakorlatilag kivitelezhetetlen, hiszen sem apparátusa, sem pedig a szükséges szakismerete nincsen meg ahhoz, hogy az évtizedek alatt felgyülemlett, jó esetben rendszerezett, archivált iratokat és adatbázisokat az új szabályozás feltételei szerint megszűrje. A béradatok esetén lehet magyarázat a régi adatok kezelésére, hogy a munkáltató azért kezel munkabérhez kapcsolódó adatokat korábbi munkavállalók esetén is akár több évtizeden keresztül, mert a béradatokat ötven évig meg kell őrizni a társadalombiztosítási szabályok szerint. Ez a magyarázat ugyanakkor nem alkalmazható például a teljesítményértékelések, táppénzes okiratok, vagy kiküldetéshez kapcsolódó okiratok esetén, hiszen itt a normál hároméves elévülési időt követően nehéz jogalapot találni arra, hogy a munkáltató miért őrzi a dokumentumokat, és az azokban fellelhető személyes adatokat.

A „múlt lezárása” fontos kötelezettség, azonban talán még fontosabb, hogy a „jövő” 2018 májusáig kiépüljön, és ehhez az alapkövet most kell letenni. A jövő kiépítése a gyakorlatban két feladatot jelent: egyrészről egy elég terjedelmes „papírmunka” elvégzését és annak leoktatását, másrészről pedig egy folyamatelemzést és kapcsolódó adatbiztonsági fejlesztést.

A „papírmunka” körében elő kell készíteni azokat a belső szabályzatokat, amelyek valamennyi kezelt adat vonatkozásában világosan összefoglalják a legfontosabb adatkezelési folyamatokat. A szabályzatoknak arról kell szólniuk, hogy a munkáltató milyen személyes adatot, milyen célból, milyen jogalapon és meddig kezel. Részletesen le kell továbbá szabályozni, hogy milyen jogorvoslati jogokkal rendelkezik a munkavállaló, milyen eljárási szabályok szerint viheti magával adatait (adathordozhatóság), illetve, hogy mit kell tenni adatkezelési incidens esetén. A nagyobb munkáltatók emellett kötelesek lesznek az adatkezeléssel kapcsolatosan nyilvántartásokat vezetni, továbbá adatvédelmi tisztviselőt foglalkoztatni. Minderről a munkavállalókat is tájékoztatni kell.

Még szigorúbb lesz az adathozzáférés

Legalább ennyire összetett feladat lesz az adatkezelési folyamatok oly módon történő átalakítása, hogy az egyes személyes adatokhoz csak azon munkavállalók férjenek hozzá, akiknek az adott személyes adat kezeléséhez valamilyen jogos érdekük (jogszerű indokuk) van. A HR-rendszerek eddig is viszonylag zárt rendszerként működtek, a jövőben azonban a hozzáférés még korlátozottabb lesz. Az egyes szabályzatokban fel kell sorolni azokat a munkavállalókat (pozíciókat), akik jogosultak lesznek az adatkezelésre. Ehhez természetesen felül kell vizsgálni a jelenlegi jogosultságokat és az IT rendszereket oly módon kell továbbfejleszteni, hogy az egyes adathordozókat (file-okat, okiratokat) valóban csak azok lássák, akiknek az adott személyes adattal valamilyen adatműveletet kell ellátniuk.

Nagyon sok cég szervezi ki manapság a bérszámfejtést professzionális szolgáltató részére, amely ennek következtében számos munkavállalói személyes adatot kezel. A GDPR szabályrendszere nem fogja akadályozni az ilyen jellegű kiszervezéseket, azonban arra fel kell készülni, hogy a munkavállalók számára sokkal átláthatóbb és részletesebb tájékoztatást kell adni a kiszervezés keretében történő adatkezelésről. A szolgáltatónak mint adatfeldolgozónak pedig meg kell tennie azokat a megfelelő biztonsági és szervezeti jellegű intézkedéseket, amelyek szükségesek ahhoz, hogy az adatkezelések átlátható módon, továbbá az adattakarékosság alapelvének betartásával történjenek.

A GDPR alkalmazása még számos olyan kérdést vet fel, amelyekre a megnyugtató válaszokat csak évek elteltével fogjuk megtudni. Az viszont már most egyértelműen látszik, hogy az adatkezelések szigorodó szabályrendszere egyértelműen nagyobb szervezeti átláthatóságot fog eredményezni. A munkáltatóknak pedig arra is fel kell készülniük, hogy a jövőben a munkavállalók már nemcsak a munkakörülményeikkel kapcsolatosan fognak kérdéseket feltenni, hanem az adatkezelési folyamatokkal, hozzáférési jogosultságokkal, esetenként a jogalap nélküli adatrögzítésekkel kapcsolatosan is kialakulhatnak jogviták. Ezeket megelőzendő célszerű májusig egy olyan belső szabályrendszert kialakítani, amely transzparens és egyszerű módon mutatja be az egyes adatkezeléseket. //