Koronavírus és GDPR: a cégek pandémiás tervében az adatkezelésre is gondolni kell Koronavírus
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A vállalkozások Magyarországon is sorra vezetnek be intézkedéseket a koronavírus járvány megelőzése és enyhítése érdekében. A protokollok kialakításánál azonban kulcsfontosságú a kapcsolódó adatkezelési feladatok átgondolása a személyes jellegű információk biztonsága érdekében – hívja fel a figyelmet Vári Csaba, a Baker McKenzie adatvédelmi csoportjának vezetője. Az adatkezelők megfelelő tájékoztatást kötelesek nyújtani az érintettek számára, ideértve a jogaikkal kapcsolatos felvilágosítást is.
A munkáltatók egyre gyakrabban halasztják el vagy minimalizálják a külföldi utazásokat és a tervezett személyes megbeszéléseket a járvány hatására. Sok helyen arra kérik a munkavállalókat, hogy előzetesen jelentsék be külföldi útjaikat, akár céges, akár magánjellegű az utazás. Rögzítik, ki hova utazott és mettől meddig tartózkodott a helyszínen. Ennek célja egyértelműen az, hogy ha fertőzéssel érintett az adott terület, akkor a cégek megtehessék a megfelelő intézkedéseket, ugyanis sokszor csak utólag derül ki, hogy a környéken a koronavírus már felütötte a fejét. A cégek ugyancsak sok esetben rögzítik a hozzájuk látogatók adatait, elsősorban azt, hogy mikor és kivel találkozott a vendégük. Ha utólag bármelyiküknél vagy a környezetükben a vírusfertőzés kimutatható, a kapcsolati láncot könnyebben vissza lehet fejteni, és az esetleges érintetteket értesíteni tudják.
Mindez azzal jár, hogy a munkáltatók munkavállalóik, illetve üzleti partnereik – azaz magánszemélyek – személyes adatait kezelik. Ez esetben pedig elkerülhetetlen a megfelelő adatkezelési szabályzatok kialakítása, illetve az adatkezelési nyilvántartások módosítása.
A vállalatoknak célszerű pandémiás tervet készíteni, és az ehhez szükséges adatkezelések tekintetében kidolgozni a GDPR-nak és a hazai adatvédelmi szabályoknak megfelelő környezetet. Elsődleges feladat az adatkezelések céljának érvényes és konkrét meghatározása. Ugyancsak rögzíteni kell az alkalmazandó jogalapot, amely az érintettek, illetőleg az üzletfelek jogos érdeke lehet. Ez esetben mérlegelni szükséges, hogy a bevezetendő adatkezelésekkel elérni kívánt célhoz fűződő érdek jelentősebb-e, mint az érintett magánszemélyek jogai, szabadságai vagy jogos érdekei.
Fontos meghatározni az adatkezelés érintettjeit, valamint azokat, akik az adatkezelő szervezetén belül, esetleg azon kívül hozzáférhetnek ezekhez az adatokhoz. Általában elegendő egy-két munkatárs bevonása, annak érdekében, hogy csak azok kapjanak hozzáférést, akiknek ez feltétlenül szükséges.
Ugyancsak alapvető fontosságú a rögzíthető adatok köre. Ezzel kapcsolatban az adattakarékosság szempontjait kell figyelembe venni, azaz csak olyan adatot lehet gyűjteni és tárolni, ami a cél megvalósításához szükséges. Az adatkezelőknek rendelkezniük kell továbbá az adatok biztonságáról és a megőrzési időkről is. A megőrzési idők kapcsán érdemes figyelembe venni a koronavírus lappangási időszakát, mely a jelenlegi információk alapján két hétig terjedhet.
A fenti adatkezelési célok megvalósítása alapos elemzést és tervezést igényel a vállalkozások részéről, sokszor a különböző osztályok – HR, informatika, jog, compliance – összehangolt munkája szükséges. Az adatkezelők a fenti intézkedéseken kívül megfelelő tájékoztatást kötelesek nyújtani az adatkezelésekről az érintettek számára, ideértve az érintetti jogokkal kapcsolatos tájékoztatást is. Az érintettek meghatározott keretek között gyakorolhatják a tiltakozáshoz való jogukat, azonban bizonyos esetekben az adatkezelő ezt nem köteles figyelembe venni.
