Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A GPDR (Általános Adatvédelmi Rendelet) 2018. május 25-éig biztosít haladékot a munkáltatóknak, hogy adatkezelési folyamataikat az új szabályozásnak megfelelően átalakítsák. A GDPR egyfajta szűrőként értelmezhető, célja, hogy a munkavállaló személyes adatokhoz kapcsolódó információs önrendelkezési jogát a munkáltató kizárólag olyan körben korlátozza, amennyiben a munkaviszonyból eredő jogok és kötelezettségek teljesítése szempontjából az feltétlenül szükséges.
A munkáltatók eddig is foglalkoztak adatkezelési kérdésekkel. A munka törvénykönyve (Mt.) tartalmaz arra szabályozást, hogy a munkáltató milyen jellegű adatokat gyűjthet, azokat milyen feltételekkel adhatja át harmadik személy részére. Elfogadottá vált, hogy az infótörvény a munka törvénykönyve általános, felhatalmazó jellegű szabályaihoz képest különös szabályokat tartalmaz. Így a munkáltatók nem csupán kezelik az adatokat, hanem annak keretszabályairól tájékoztatják a munkavállalókat, illetve harmadik személy részére történő adattranszfer esetén kérik hozzájárulásukat. Kialakult egy olyan gyakorlat is, hogy a munkaszerződések egyfajta általános jellegű adatkezelési klauzulát tartalmaznak a munkavállalók adatainak kezelésére, illetve átadására.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elmúlt években kiadott eseti döntései, továbbá a 2016 végen a munkahelyi adatkezelésekkel foglalkozó átfogó tanulmánya rávilágított arra, hogy a munkáltatóknak a munkavállalói adatkezelési folyamatokat sokkal tudatosabban kell megszervezniük. A hivatkozott tanulmány pontos útmutatást tartalmaz a munkaviszony keretében végzett speciális adatkezelésekkel kapcsolatosan. Egyértelművé vált, hogy a munkaviszony jellegéből eredően nehezen értelmezhető a munkavállalói önkéntes hozzájárulás fogalma, ennek megfelelően a hozzájáruláson alapuló adatkezelés csak kivételes jogalapként alkalmazható. A tanulmány megágyaz a GDPR- (Általános Adatvédelmi Rendelet) szabályozásnak, amelynek alaplogikája és elvei teljes körű adatkezelési tudatosságot várnak el az egyes adatkezelések során mind a munkáltatótól, mind a munkavállalótól.
A GDPR vezérelve szerint a munkáltatónak valamennyi adatkezelés során el kell tudni számolnia azzal, hogy az adott adatot milyen célból kezeli, az adatkezelésnek mi a jogalapja, ehhez az adatkezeléshez elégséges tájékoztatást adott az érintett munkavállaló részére. Fontos annak az elvnek a figyelembevétele is, hogy csak olyan adatok kezelhetőek, amelyek a munkaviszonyhoz kapcsolódó jog, vagy kötelezettség teljesítése szempontjából szükségesek, továbbá folyamatszervezés szempontjából azt is biztosítani kell, hogy az egyes adatokhoz csak olyan személy jusson hozzá, akinek ehhez megfelelő jogszerű érdeke van, illetve akinek a munkavégzéséhez az adatkezelés elengedhetetlen.
A GDPR egyfajta szűrőként értelmezhető, melynek a célja, hogy a személyes adatokhoz kapcsolódó munkavállalói információs önrendelkezési jogot a munkáltató kizárólag olyan körben korlátozza, amennyiben a munkaviszonyból eredő jogok és kötelezettségek teljesítése szempontjából az feltétlenül szükséges.
Nem vitatott tény, hogy a munkaviszonyhoz kapcsolódóan szükséges a munkavállalói információs önrendelkezési jog korlátozása.
A GDPR-szabályozásból ered, hogy a munkáltatónak kell ismernie saját belső folyamatait. Ez a fajta tudatosság eddig nem volt hangsúlyosan integrált része a munkavállalói folyamatoknak; az olyan vezérelvek, mint adattakarékosság, vagy célhoz kötöttség elve nem jellemezték az egyes adatkezelési folyamatokat
Gondoljunk csak a munkaviszonyból eredő egyik legalapvetőbb kötelezettségre, a munkáltatói bérfizetési kötelezettségre, melynek teljesítéséhez számos személyes adat ismerete szükséges. A bérfizetéshez szükséges személyes adatok körét az adószabályok pontosan meghatározzák. Ennek megfelelően egyértelmű, hogy itt a munkáltató egyrészről szerződésből eredő kötelezettség teljesítése, másrészt jogszabályi felhatalmazás alapján kezel személyes adatokat. A béradatokat a munkáltatónak a munkajogi elévülési időt meghaladóan, akár 50 évig meg kell őrizni. Az azonban már mérlegelést és vizsgálatot igénylő kérdés, hogy az adatok kezelése során ki férhet hozzá ezen adatokhoz, illetve aki hozzáfér, az milyen műveleteket tehet azokkal. Egyértelmű, hogy az adatok tárolása, illetve a velük való műveletek csak a munkabér kiszámítása, kifizetése, illetve kapcsolódó közkötelezettségek teljesítése körében végezhetőek. Ha azonban a munkáltató a személyes adatokat más célra is fel akarja használni (például kimutatást szeretne készíteni az egyes vezetők részére kifizetett extra juttatásokról az anyavállalat részére), úgy már mérlegelnie kell, hogy valóban szükséges-e az adatok átadása.
Ez az eset az adatkezeléssel kapcsolatos azon problematikára is rávilágít, hogy amennyiben adatkezelés történik, úgy vajon a munkáltatónak a munkavállalót minden egyes, a személyes adatain végzett műveletről külön kell-e tájékoztatnia, vagy elegendő-e egy előzetesen, általános jellegű tájékoztatás a munkavállaló számára. Nyilvánvaló, hogy idővel ki fog alakulni egy hatósági jogértelmezés ebben a kérdésben is, azonban az már most látszik, hogy a GDPR-szabályozás nem ellehetetleníteni akarja az adatkezelési folyamatokat azzal, hogy rendszeres, részletekbe menő tájékoztatási kötelezettséget ír elő. Az adatkezelési tájékoztatónak (szabályzatnak) azonban ki kell térni azokra az adatkezelési folyamatokra, amelyek az adott munkáltató működését rendszerint jellemzik. Ha tehát a munkáltató multinacionális vállalatcsoport részeként folyamatos és rendszeres tájékoztatási kötelezettséget teljesít az anyavállalat, vagy egyéb vállalatcsoporthoz kapcsolódó entitás részére, úgy erre már a tájékoztatóban fel kell hívni a munkavállaló figyelmét.
A GDPR-szabályozásból ered, hogy a munkáltatónak kell ismernie saját belső folyamatait. Ez a fajta tudatosság eddig nem volt hangsúlyosan integrált része a munkavállalói folyamatoknak. Az adatkezelési folyamatok részben szokásjogi alapon, részben spontán módon, mindig az adott feladatnak alárendelve alakultak. Azonban olyan vezérelvek, mint adattakarékosság, vagy célhoz kötöttség elve nem jellemezték az egyes adatkezelési folyamatokat.
Számos munkáltatónál szabályozatlan az indokolatlanul kezelt adatmegsemmisítés kérdésköre. Egyes munkáltatók olyan, már archivált adatbázisokat hordoznak magukkal, amelyek akár évtizedekre visszamenőlegesen tartalmaznak például munkavállalói teljesítményértékeléseket, szabadságkiadással és -kivétellel kapcsolatos dokumentumokat. Kérdés, hogy vajon melyik munkáltatónak lesz ahhoz megfelelő kapacitása, hogy ezeket a régi adatbázisokat átböngéssze és gondoskodjék minden olyan személyes adat megsemmisítéséről, amelynek kezelése, ideérve annak tárolását is, az új szabályozás szempontjából már nem indokolt.
Nem vitatott, hogy ezt az adatszűrést el kell végezni, ám ha a GDPR-ból levezethető egyes kötelezettségeket súlyozni kellene, úgy sokkal fontosabb magának az adatkezelési folyamatnak a megismerése, az új feltételrendszer figyelembevételével történő átalakítása.
Sok munkáltató a gyakorlatban a GDPR szabályainak bevezetését úgy fogja megélni, hogy újabb belső szabályzatok lesznek kiadva. Figyelemmel azonban arra, hogy a GDPR-szabályozás egyes elveit mindenkor az adott munkáltató belső folyamatainak alapján kell alkalmazni, szükségszerűvé válik, hogy 2018. május 25-ike után a belső adatkezelési folyamatok is átalakuljanak. Ehhez időben meg kell hozni a szükséges döntéseket, illetve esetenként a belső jelentési, illetve utasításadási jogokat és kötelezettségeket is át kell alakítani. Mindez óhatatlanul a belső adatkezelési folyamatok racionalizálásához, átláthatóbb működéséhez fog vezetni.
[htmlbox mt_kommentar]A tudatosság körében nem szabad elfeledkezni a munkavállalókról sem. A jövőben fel kell készülni arra, hogy az információs önrendelkezési jog jogosultja, az érintett személy, azaz a munkavállaló a munkaviszony körében már nem csupán a munkavégzésével kapcsolatosan kérhet felvilágosítást, hanem a reá vonatkozó adatkezeléssel kapcsolatosan is. A jövőben a munkavállalói tudatosság bizonyára erősödni fog. A munkáltatónak ennek megfelelően jól felfogott érdeke, hogy az adatkezeléssel kapcsolatosan transzparens rendszereket működtessen, továbbá időről időre, proaktív módon tegyen eleget tájékoztatási kötelezettségének, elkerülve azt, hogy a normál működést napi szintű konzultációk, magyarázkodások akadályozzák.
A fentiek alapján a GDPR-szabályozás bevezetését célszerű egy olyan lehetőségként megélni, amely nemcsak azt biztosítja, hogy a munkáltatók saját belső folyamataikat az adatvédelem szemüvegén keresztül megismerjék, hanem arra is lehetőséget teremt, hogy a vállalati folyamatokat átalakítsák, esetenként racionalizálják.
Szerző : Dr. Szűcs László
ügyvéd – irodai tag
Réti, Antall és Társai Ügyvédi Iroda
http://www.retiantallpartners.hu/
