Jövő év május 25-én lép hatályba az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation - GDPR). Újdonság, hogy a GDPR nem irányelv, hanem rendelet és így az EU egész területén közvetlenül alkalmazandó, így egységesítvén a 28 tagállam adatvédelmi szabályozását - hívta fel a Napi.hu figyelmét Tóásó Bálint, a KPMG Legal Tóásó Ügyvédi Iroda irodavezető ügyvédje.
A hazai jogalkotás feladata pusztán annyi, hogy a magyar joganyagot összhangba hozza a GDPR-ral, illetve az abban meghatározott felhatalmazások alapján megalkossa a részletszabályokat. A jogszabály-módosítás első tervezete már elkészült, a végleges jogszabály elfogadása azonban csak decemberre várható.
A napokban vitára bocsátott tervezet még sok ponton módosulhat, továbbá az is érdekes lesz, hogy miként alakul majd a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) álláspontja a GDPR-ról. Ettől függetlenül a tervezet iránymutatást adhat arra nézve, hogy a magyar jogalkotó milyen irányokat jelölne ki a rendelet hazai alkalmazásakor - vélekedett Tóásó.
Rossz hírek a vállalatok számára
Mivel a munkáltatók a foglalkoztatottak személyes adatait kezelik, ezért adatkezelőnek minősülnek, így vonatkozik rájuk a GDPR. Jelenleg nagyon nehéz előre megbecsülni, hogy melyik vállalkozásnak milyen szinten hoz változásokat az új rendelet, hiszen minden társaságnál más és más a rendszer. Ennek ellenére
érdemes elkezdeni a felkészülést, hiszen májusig - elvileg - mindenkinek el kell végeznie egy adatvédelmi auditot,
amelynek alapján esetleg a szabályzatokat, szerződéseket és nyilvántartásokat módosítani kell. Ám az, hogy ez hogyan történik, már egyedi kérdés - fogalmazott a Napi.hu-nak Zempléni Kinga ügyvéd.
Tóásó Bálint szerint az egyik legérdekesebb kérdés a munkavállaló-munkáltató viszonylatban az, hogy a munkáltató milyen jogalapot nevez meg az adatkezelése kapcsán. Ez a NAIH és az unió Adatvédelmi irányelv 29. cikke alapján létrehozott adatvédelmi munkacsoportjának állásfoglalása miatt kérdéses még.
Munkaviszonyban a hozzájárulás ugyanis csak szűk körben elismert, a felek közötti függőségi viszony miatt. Ugyanakkor a munkáltatóknak egyrészt jogszabályi kötelezettségek teljesítésével kapcsolatban van joga a munkavállalók személyes adatait kezelni. Gondoljunk például a bérek és az adók fizetésére, amelyek kiszámítása és megfizetése elképzelhetetlen lenne e nélkül. Másrészt,
a Munka Törvénykönyve egy másik felhatalmazást is tartalmaz a személyes adatok kezelésére,
ez alapján van lehetőség például a munkavállalók korlátozott ellenőrzésére.
Fontos különbség azonban, hogy a munkáltató az ilyen esetekben nem köteles, csak jogosult az adatok kezelésére. Ezért az adatkezelés jogalapja valójában a munkáltató gazdasági érdeke és nem jogszabályi kötelezettség teljesítése. Ez azért fontos, mert a két eset eltérő következményekkel járhat. Ha a munkavállalók profilozása (munkahelyi teljesítménymérése) során az adatkezelés alapja a munkáltató gazdasági érdeke, és nem jogszabályi kötelezettség teljesítése, akkor a munkavállaló elvileg tiltakozhat az ilyen ellenőrzés miatt, míg a másik esetben nem, magyarázta a KPMG Legal szakértője.
Bekamerázni, Facebookot monitorozni tilos?
A munkajog területén várhatón a NAIH tesz majd állásfoglalásokat: egyebek közt a munkavállaló nyomkövetése, vagy a kamerás megfigyelés terén is érkezik majd vélemény.
Erős iránymutatóként szolgálhat azonban az EU adatvédelmi munkacsoportjának nyáron kiadott állásfoglalása, amely a munkahelyi megfigyelés kapcsán a GDPR-t is figyelembe veszi - hívta fel a figyelmet Zempléni Kinga.
E vélemény alapján a dolgozók munkájának technikai eszközökkel való megfigyelését "arányosan" kell végezni,
a munkáltatónak igazolnia kell, hogy ehhez mennyire fűződik jogos érdeke és nem elég hozzá pusztán a foglalkoztatott beleegyezését kérni, mivel a munkaviszony nem minősül egyenrangú viszonynak. (Például a kamionsofőrök nyomkövetése lehet jogos érdek, hiszen egy bizonyos órán túl nem szabadna vezetniük, ám egy ügyfélszolgálati munkatárs kamerás megfigyelése már aránytalan lehet.)
A dokumentumban nagyon szigorúan foglalnak állást arra vonatkozóan, hogy egy eszközt, amelyet magáncélra lehet használni (például laptop), megvizsgálhatja-e a munkáltató.
Szerintük a megfigyelésről mindig tájékoztatni kell a munkavállalót, magánhasználatú készülékek esetén lehetőséget kell adni, hogy kikapcsolják ezt a megfigyelést, vagy legyen a számítógépnek egy olyan része, amelyhez nem fér hozzá a munkáltató.
Az EU-s állásfoglalás szerint a munkaadónak alapvetően nem lenne szabad néznie az alkalmazott Facebook profilját, mert az személyes adatokat sért. Mi több, eszerint például a vállalathoz jelentkező interjúalanyoknak sem lehetne megtekinteni a Facebook-profilját, márpedig gyakori, hogy azt a hr-esek leellenőrzik - mondta Zempléni.
Tóásó Bálint szerint azonban, hogy a 29. cikk alapján létrehozott munkacsoport által meghozott állásfoglalások további sorsa kérdéses, hiszen a GDPR nem tartalmaz rendelkezést a testületet által kiadott korábbi állásfoglalások sorsáról.