A személyes adatok kezelése a munkaviszonyban


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A munkavállalók adatinak kezelésével kapcsolatosan elsődlegesen a GDPR (Általános Adatvédelmi Rendelet) rendelkezései érvényesülnek, a magyar jogszabályok abban az esetben alkalmazhatóak, ha azok nem ellentétesek a GDPR rendelkezéseivel.

GDPR

A GDPR nem fogalmaz meg speciális szabályokat a munkavállalói adatok kezelésére vonatkozóan, így azokra GDPR általános szabályait kell megfelelően alkalmazni.

A GDPR az alábbi pontokban jelöli meg a személyes adatok kezelésének jogalapját:

GDPR 6. cikk (1) bekezdés: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.”

A munkaviszonnyal összefüggésben főszabály szerint a felsorolt jogalapok közül a b. és a c. pontban meghatározott jogalap az általánosan irányadó, így a munkáltató által kezelt adatok köre a munkaszerződés teljesítéséhez szükséges adatok (pl.: ellenőrzés), illetve a jogi kötelezettség teljesítéséhez szükséges adatokra (bejelentés, TB és adózási szabályok) korlátozódik.

A szerződés teljesítéséhez szükséges adatok köre az Mt. általános szabályaiból vezethető le. Az Mt. VIII. fejezete határozza meg a munkaszerződés teljesítésével kapcsolatos jogokat és kötelezettségeket.

Ezek a szabályok azok, amelyek jogalapot képzenek arra, hogy a munkáltató a munkavállaló személyes adatait kezelje (példa: az Mt. 52. § (1) bek. a) pontja: a munkáltató által előírt helyen és időben munkára képes állapotban megjelenni – ennek alapján a munkáltató jogosult ellenőrizni azt, hogy a munkavállaló munkára képes állapotban jelenik-e meg).

Az érintett hozzájárulásán alapuló adatkezelés csak korlátozottan érvényesül a munkaviszony körében. A hozzájárulás alapvető feltétele az, hogy annak önkéntesnek, azaz mindenfajta külső befolyástól mentesnek kell lennie. A gyakorlat szerint hozzájárulás alapú adatkezelésről csak akkor beszélhetünk jogalapként, ha az érintettnek valódi döntési lehetőség áll rendelkezésére és nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén.

A munkaviszonyban fennálló alá-fölérendeltség miatt azonban a munkavégzésre irányuló jogviszonyokban nem értelmezhető a hozzájárulás önkéntessége. A gyakorlatban sokszor előfordul, hogy ha az alkalmazott megtagadja a hozzájárulását az adatainak kezelésére vonatkozóan, akkor az anyagi vagy nem anyagi természetű hátránnyal jár.

Összefoglalva tehát az érintett hozzájárulására, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés megtagadása esetén [NAIH Tájékoztató].

A munkahelyi adatkezelés során kiemelten érvényesülő alapelvek

A GDPR 5. cikke határozza meg azokat az alapelveket, amelyeknek a személyes adatok kezelés körében érvényesülniük kell:

„A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).”

Az alapelvek közül a munkaviszonyban kiemelt jelentőséggel bír a célhoz kötöttség elve és az adattakarékosság elve (szükségesség-arányosság), amely a munkáltató rendelkezései szerint kialakított adatkezelés jogszerűségét garantálja. A munkáltatóknak ezen alapelvekre figyelemmel kell kialakítaniuk az adatkezelési körülményeket.

A célhoz kötöttség elve

A GDPR fent idézett szabályával párhuzamosan az Mt. is meghatározza a célhoz kötöttség elvét:

GPDR Mt.

5. cikk b) pont

A személyes adatok […] gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

10. § (2)

A munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

Az elv gyakorlati követelményei:

Az adatok rögzítését megelőzően kell az adatkezelés célját, világosan és egyértelműen meghatározni.

A célnak kellően részletesnek kell lennie annak érdekében, hogy azonosíthatóak legyenek a szükséges adatkezelési műveletek és az alkalmazandó további garanciális szabályok. A cél meghatározásának részletezettsége alapvetően az adatkezelés körülményeitől és a kezelt személyes adatok fajtáitól függ. Általánosságban elmondható, hogy a túl tág, általános fogalmakkal körülírt cél nem felel meg e követelménynek.

A munkáltatónak minden egyes adatkezelés esetében adatkezelési célonként külön-külön meg kell határoznia azt a jogot, amelynek gyakorlásához, illetve kötelezettséget, amelynek teljesítéséhez szükséges valamely személyes adat kezelése, vagy azt a kötelezettséget, amelynek teljesítése szükségessé teszi az adatkezelést.

Mivel a célhoz kötött adatkezelés elve az Mt. 10. § (1) bekezdésben is megjelenik, a munkáltatónak minden adatkezeléséhez kötelezően célt kell rendelnie. Azaz személyes adat csak akkor kezelhető, ha az adat kezelése nélkül a munkaviszony létesítése, fenntartása, megszűnése nem lenne lehetséges. A munkáltató adatkezelési eljárásai tekintetében való jogszerűségét azzal tudja bizonyítani, ha minden adatkezelése vonatkozásában igazolni tudja az adatkezelés célját, és azt, hogy az adatkezelés a cél eléréséhez szükséges.

Adattakarékosság (szükségesség-arányosság) elve

A GDPR fent idézett szabályával párhuzamosan az Mt. is meghatározza az adattakarékosság (szükségesség-arányosság) elvét:

GDPR Mt.

5. cikk b) pont

A személyes adatok […] az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

9. § (2) bekezdés

A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról a munkavállalót előzetesen tájékoztatni kell.

11. § (1) bekezdés

A munkáltató a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A munkáltató ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető.

Ennek az alapelvnek elsődlegesen a munkáltatói ellenőrzéseknél van jelentősége.  Az alapelv alapján felmerülő gyakorlati követelmények:

Az alkalmazott eszköznek alkalmasnak kell lennie a cél elérésére, vagyis csak akkor lehet ellenőrzést folytatni, ha egyértelmű, hogy az arra szolgáló alkalmazni kívánt eszköz, módszer nem sérti a védeni kívánt munkáltatói érdekeket és jogokat.

Az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat. Ez egyszerre jelenti az adatkezelés időbeni korlátozottságát, és azt is, hogy a személyes adatokat csak a szükséges esetben, és csak az arra feljogosított személyek használhatják fel.

Tehát az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. Ezzel kapcsolatban fontos kiemelni azt, hogy a munkavállalókat a munkahelyen is megilleti a magánélethez való jog, illetve az ellenőrzésnek munkavállalók emberi méltóságának tiszteletben tartásával kell történnie. Ezt a munkáltatónak tiszteletben kell tartania.

Az Mt. kiegészítő szabályai

Az Mt. 10. § – 11/A. § a GDPR fent idézett szabályait kiegészítve további rendelkezéseket is tartalmaz a munkavállalók adatainak kezelésével kapcsolatosan:

A munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges. [Mt. 10. § (1) bek];

A munkáltató, az üzemi tanács, a szakszervezet az Mt. Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti. [Mt. 10. § (2) bek];

A munkavállalóval szemben olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. [Mt. 10. § (3) bek]. A munkáltató a fenti adatkezeléséről az érintettet írásban tájékoztatja. [Mt. 10. § (4) bek].

A cikk szerzője dr. Jean Kornél irodavezető partner ügyvéd és dr. Tóth Blanka ügyvédjelölt. Az Ecovis Hungary Legal a Jogászvilág.hu szakmai partnere.

ECOVIS 202107




Kapcsolódó cikkek

2024. október 10.

A NIS2 hatályba lépésére figyelmeztet az EY

Pár nap és élesedik a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv, amely több ezer cégre vonatkozik Magyarországon. A regisztrációt elmulasztó társaságok akár szankciókra is számíthatnak a hatóságtól. Az érintett vállalkozásoknak az év végéig le kell szerződniük a biztonsági vizsgálatra jogosult auditorral is, ugyanis, ha nem végzik el időben az IT rendszereik felülvizsgálatát akár több millió eurós büntetésre is számíthatnak.

2024. október 10.

Mi is az logisztikai park?

Alábbi cikkében a szerző a logisztikai parkok mibenlétét, típusait, létrejöttét és előnyeit ismerteti.