Munkahelyi adatkezelés a GDPR alapján

  • Értesítő a rovat cikkeiről

Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-ig biztosít lehetőséget a munkáltatóknak arra, hogy adatkezelésüket megfelelően alakítsák át. A munkáltatók nagyszámú, eltérő jellegű személyes adatot kezelnek, ezért az új szabályozásnak történő megfelelés igen komplex és összetett feladatot ró rájuk - hívta fel a figyelmet közleményében a PwC.

 

Első lépésként a jelenleg kezelt adatvagyont kell felmérni. A munkáltatónak be kell azonosítania, hogy milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi. Az adattakarékosság és a célhoz kötöttség elvéből következik, hogy a munkáltatók a jövőben csak olyan adatokat kezelhetnek, amelyek kezelésére - a GDPR szabályai szerinti - megfelelő jogalappal rendelkeznek. A jogalap a jövőben főként jogszabályon, jogos érdeken, kivételes esetben hozzájáruláson alapulhat. Jogalap hiányában pedig a személyes adatokat törölni kell.

Második lépésként a munkáltatónak be kell azonosítania, hogy a jövőben a munkáltató a munkavállalók, esetenként családtagjaik mely személyes adatait kezeli, illetve az adatkezelési folyamatok során ki lesz jogosult a személyes adatokhoz hozzáférni. Arról is döntést kell hoznia, hogy amennyiben történik adatkezelés, úgy a személyes adatokat meddig tárolja. Itt természetesen be kell azonosítania azokat a jogszabályokat, amelyek a munkáltatót a meghatározott személyes adatok őrzésére kötelezik, és ennek alapján kell megállapítania az adattárolás időtartamát.

Számos vállalat használ egységes HR-adatbázisokat, amelyekhez nem csupán az Európai Unió országaiból, hanem esetenként azokon kívülről is lehet hozzáférése egyes személyeknek. Ezen adatbázisok szükségességét felül kell vizsgálni és amennyiben a munkáltató, illetve anyacége az adatbázis fenntartása mellett dönt, úgy az adatbázis adattartalmát, továbbá a hozzáférést, a tárolás időtartamát át kell alakítani a GDPR szabályainak megfelelően.

„Amennyiben a jövőbeni adatkezeléshez a szükséges döntések megszülettek, úgy a munkáltatónak létre kell hoznia azokat a belső szabályozásokat, amelyek az érintett munkavállalók számára közérthetően, egyértelműen bemutatják a munkáltatónál irányadó adatkezelési szabályokat. A szabályzatokat úgy kell megalkotni, hogy valamennyi munkavállaló számára egyértelmű legyen, hogy mely személyes adatát kezeli a munkáltató, milyen célból és mely jogalapon, illetve meddig. A munkáltatónak arról is tájékoztatást kell adnia a munkavállalók számára, hogy az adatok törlésével, illetve a helytelen adatok kezelésével kapcsolatosan milyen jogai lesznek. Különös figyelmet kell fordítani arra, hogy a GDPR bizonyos típusú adatkezelések esetén több, a jelenlegi szabályozáshoz képest teljesen új jogot biztosít az érintettek részére” – hívja fel a figyelmet Szűcs László, a Réti, Antall és Társai PwC Legal szakértő ügyvédje.

A munkaviszony az egyik legkomplexebb jogviszony,az akár évtizedeken átívelő munkaviszony miatt a munkáltató nagyon sok és eltérő típusú személyes adatot kezel. Valamennyi személyes adatra, illetve adatkezelésre nem lehet külön adatvédelmi tájékoztatást/szabályzatot készíteni, ezért célszerű egy egységes, a munkavállalók valamennyi személyes adatához kapcsolódó, keretszabályzatot készíteni. A keretszabályzatot ki lehet egészíteni olyan, speciális adatkezelésekhez kapcsolódó mellékletekkel, mint például a laptop használatához kapcsolódó adatkezelés, a GPS-rendszer által gyűjtött adatok tárolása és kezelése, vagy például a rehabilitációs jellegű munkakörökhöz kapcsolódóan az egészségügyi adatok kezelése.

„A szabályzatok standardizálása bizonyos mértékig lehetséges,ám ezeknek a munkáltatónál alkalmazott egyedi jellegű adatkezelési folyamatokra kell épülniük.E tekintetben szinte nem is beszélhetünk két teljesen azonosan működő munkáltatóról” – hangsúlyozza Csenterics András, a Réti, Antall és Társai PwC Legal adatvédelmi és adatbiztonsági szakjogásza.

Munkajogi Mesterkurzus - A munkaidő és a pihenőidő

Előadás helyett Tréning: a résztvevők minden témához kapcsolódóan feladatokat oldanak meg

Tömeg helyett Csoportmunka: kiscsoportokban zajlik a munka

Szónoklat helyett Konzultáció: a résztvevők a képzés során végig kérdezhetnek az előadóktól

Időpont és jelentkezés >>

A szabályzatok elkészültét követően a munkáltatónak figyelmet kell fordítania arra, hogy a munkavállalók az adatkezelés új szabályait ténylegesen megismerjék. Ennek leghatékonyabb módja az oktatás, amely a szabályzatokban összefoglalt adatkezelési szabályok bemutatását jelenti. Emellett a munkáltatónak adatvédelmi tisztviselőt is ki kell jelölnie annak érdekében, hogy az adatvédelmi szabályok betartása kellő hatékonysággal ellenőrizhető legyen, továbbá 250 munkavállaló felett nyilvántartást kell készítenie az adatkezeléseivel kapcsolatosan.   

A GDPR szabályainak végrehajtása azonban nem csupán adminisztratív teendőkkel jár. Az egyes IT-rendszerek adatbiztonsági megfelelőségét is felül kell vizsgálni, továbbá olyan komplex feladatokat kell megoldani, mint a már nem szükséges, vagy jogalap nélkül kezelt adatok (lehetőleg automatikus) törlése, esetleg anonimizálása, vagy például az adathordozhatóság feltételeinek kialakítása.

„A szükséges intézkedéseket haladéktalanul célszerű elkezdeni, annak ellenére, hogy a GDPR bevezetéséhez kapcsolódóan még számos magyar jogszabály vár módosításra. A rendelet alapján a munkáltatói kötelezettségek beazonosíthatóak, továbbá a rendelet Magyarországon is közvetlenül hatályos, ezért azt javasoljuk, hogy a szervezetek kezdjék el az adatvagyonfelmérését, illetve a munkáltatói adatkezelés új szabályozásának megfelelő átalakítási folyamatot” – mondja Csenterics András.

  • Értesítő a rovat cikkeiről

Kapcsolódó cikkek

  • adatvédelem

    Az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete („GDPR” vagy „Rendelet”) 2016. május 25-én lépett hatályba, rendelkezéseit a két éves felkészülési időszakot követően, 2018. május 25-től kell alkalmazni. A GDPR, mint számos szakértői anyagból már kiderült, jelentős változásokat hoz - az Unió egész területén egységes adatvédelmi szabályozást alakít ki és rendelkezései közvetlenül alkalmazandók valamennyi tagállamban.

  • Székely László

    Egy kutató fordult az alapvető jogok biztosához, mivel a Nemzeti Emlékezet Bizottsága és a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala megtagadta egy 1956-os forradalomban résztvevő, azóta elhunyt személy képmására vonatkozó adatkérést.

Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az jogaszvilag.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!