Erős indulatokat korbácsolt és sokakat teljesen váratlanul ért amikor Május 25. hatályba lépett a GDPR. Bár némi könnyítést kaptak a kisvállalatok az biztos, hogy az adatvédelmi irányelvek gyakorlatba ültetése kötelező feladat minden adatkezelőnek. Bejegyzésünkben a munkaügyi vonatkozásával foglalkozunk a GDPR-ral.

Miért érinti komolyan a munkaügyeket a GDPR? Az info törvény és az adatvédelmi rendelkezések főleg a kereskedelmet, honlaptulajdonosokat érintette. Ez a GDPR harmonizációjának első lépcsője volt. A különbség az, hogy az adatvédelmi irányelvek most már sokkal szélesebb körű adatokra vonatkoznak. Ezen adatok halmazába pedig a munkaügyi szerződések és nyilvántartások adatai bőven beletartoznak.

Kezdjük az elején. A Munka törvénykönyve miatt létrejön egy szerződéses jogviszony a munkáltató és a munkavállaló közt. A rendeletek és az Mt. pedig meghatározza, hogy mely adatokat kell gyűjteni, illetve a hatóság számára jelenteni és melyeket kötelező megőrizni. A munkaügyi adatok java olyan adat, amely a GDPR hatálya alá esik. Ezáltal pedig minden munkáltató automatikusan Adatkezelő is egyben.

Az adatvédelmi irányelvek célja az, hogy az egyének nagyobb fokú rendelkezést nyerjenek az adataik felett. Munkaügyi szempontból a munkavállalónak tudnia kell arról, hogy milyen jogalapon és milyen célra használják fel az adatait és melyek azok az adatok, amelyeket kezelhet a munkáltató. Mindemellett pedig az adatkezelés idejét és annak végét is meg kell jelölni.

A munkáltatónak ezért rendelkeznie kell adatvédelmi szabályzattal és k rendelkeznie kell a munka kiadásához szükséges dokumentumokkal is.

A munkaszerződés megköttetésekor tehát van egy jogviszony és annak alapjai a munkaszerződésben és a szerződéséhez, illetve a munkavállalás végzéséhez szükségesek adatok a munkavállaló részéről. Az így keletkező adatokat a munkáltató kezeli. Ezen adatokról kell tájékoztatni a munkavállalót és hozzájárulását kérni, illetve biztosítani számára a módosítás vagy törlés lehetőségét. Természetesen felmerülhet a kérdés, hogy a munkavállaláshoz szükséges adatainak törlését is kérheti a munkaviszony alatt? A válasz az, hogy nem hiszen azok a Magyar törvények miatt szükségesek.

Az adatvédelmi irányelvek ismertetése mellett fontos, hogy a vállalatnál a munkavállaló részesül e céges eszközök használatában. (számítógép, telefon, GPS) Ha igen akkor ezekre célszerű külön adatvédelmi megállapodást kötni a munkavállalóval, amely tartalmazza az eszközök használata során keletkező adatok tulajdonosát és jogalapját.

Elektronikus megfigyelőrendszerek vagy beléptetőrendszerek esetén is adatok keletkeznek a munkavállalókról. Ezek kezeléséről és nyilvántartásáról szintén tájékoztatni szükséges a munkavállalót.

A munkakörök gyakran képesítéseket és orvosi alkalmasságot követelnek meg. A munkavállalók egészségügyi adatai rendkívül személyes adatnak számítanak a GDPR alapján ezért ezek átadásról külön hozzájárulás szükségs. előzetesen megjelölve a jogalapját.

A munkaügyhöz szükséges nyilvántartási adatokat (jelenlét, szabadság, távollét, munkakezdet, vég, ledolgozott munkaidő, pótlékok…stb) a GDPR hatálya alá esnek. Ezért ezen adatok kezelését meg kell jelölni az adatkezelési nyilvántartásban.

Fontos megemlíteni az Adatkezelés és az Adatfeldolgozás közötti különbséget. Az Adatfeldolgozó az Adatkezelő megbízásából előre meghatározottan hajthat végre műveleteket az adatokon. Ha Önöknél külsös bérszámfejtés zajlik vagy a munkavállaók egyéb adatai harmadik félhez kerülnek akkor erről tájékoztatni kell a munkavállalót és meg kell jelölni az adatvédelmi szabályzatban is ennek tényét. Mindemellett érdemes erről nyilvántartást vezetni.

Eddig a munkavállalás létrejöttéig figyeltük, meg az adatvédelmi teendőket. A már munkaviszonyban álló munkavállalóknál pedig ugyanezek a lépések vannak. Nagyvállalatok esetén érdemes az adatvagyon felmérését vagy hatásvizsgálatot is készíteni a munkaügyekre vonatkozóan. Ennek során meg kell nézni, hogy a rendelkezésre álló adatok mennyire szükségesek milyen kockázatot jelentenek az érintett fél számára és milyen jogalapon gyűjthetőek. Eklatáns példa a vállalati autókba helyezett nyomkövetés vagy egy biztonsági helyiség belépési kilépési adatai melyek munkavállalókhoz köthetőek. Amennyiben nincs jogalapjuk az ilyen (eddig gyűjtött adatoknak) úgy azokat törölni kell.

A GDPR egyik fontos eleme, hogy az adatvédelmi incidenseket 72 órán belül jelezni kell a hatóságok felé. Adatvédelmi incidens:

A munkaügyek esetén, ha illetéktelenek kezébe kerülnek, vagy sérülnek a nyilvántartási adatok személyes adatok akkor szintén ez a kötelezettség áll fent. Ez után a hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) az Adatkezelővel közösen vizsgálja ki az ügyet.

Összefoglalva azt kell látni, hogy a munkaügyi nyilvántartásról saját szabályzat rendelkezik, de mivel azokban a GDPR hatálya alá eső adatok és adatkezelések történnek ezért ez plusz lépéseket követel meg. Hasonló folyamat történik, mint amikor elsőként a munka törvénykönyve megszületett, majd lettek munkavédelmi szabályok, aztán tűzvédelmi szabályok és így tovább. A GDPR gyakorlatba való ültetéséről jelenleg is egyeztetések folynak, de a szabályok hatályba léptek. Lehetnek kisebb nagyobb eltérések az itthoni rendelkezésekben, de az biztos, hogy a munkaügyek folyamán figyelembe kell venni az adatvédelmi irányelveket.

A GDPR gyakorlati megvalósításáról jelenleg is egyeztetések folynak, de mivel az adatok biztonsága ugyanolyan követelménnyé vált, mint a munkaügyek, munkavédelem, adózás, munkabiztonság ezért biztos, hogy a munkaügyek végzésénél ugyanúgy figyelembe kell venni mint bármely más hatályos jogszabályt vagy rendelkezést.