A GDPR lehetővé teszi, hogy az úgynevezett „jogos érdek” fennállása esetén – mint jogalapon – kezeljünk adatokat, természetesen abban az esetben, ha megfelelő céllal rendelkezünk és a többi adatkezelési alapelvet is betartjuk – hívja fel a figyelmet a Rátkai Ügyvédi Iroda.
Ezen jogalap akkor jöhet szóba, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé (különösen, ha az érintett gyermek). A „jogos érdek”, mint jogalap jöhet szóba például akkor, ha a munkáltató (mint adatkezelő) a munkavállalót ellenőrizni kívánja (például a munkahelyi internet- vagy e-mail-használatot) vagy például akkor, ha a munkáltató valamely munkavállalóját nevezi meg egy üzleti szerződésben kapcsolattartóként – olvasható a Rátkai Ügyvédi Iroda munkajogi blogja „GDPR a HR-ben” című mellékletének friss bejegyzésében.
Látható a fentiekből, hogy alapvetően két érdek ütközik az adatkezelés kapcsán: egyrészt, például a munkáltató azon joga és érdeke, hogy a munkavállalót ellenőrizhesse; másrészt a munkavállaló magánélethez fűződő joga és egyéb személyiségi jogai. Felmerül a kérdés: ki dönti el, hogy melyik érdek az erősebb?
A kérdés megválaszolása az adatkezelőre (például a munkáltatóra) van bízva és szükség esetén neki kell bizonyítania, hogy az ő jogos érdeke mintegy felette áll a munkavállaló (vagyis az érintett; az adat alanya) alapvető jogainak. Ezért ha a „jogos érdekre” hivatkozunk, szükséges az úgynevezett érdekmérlegelési teszt elvégzése.
Az érdekmérlegelési teszt egy több lépésből álló módszer: azt jelenti, hogy összevetjük az adatkezelői érdekeket az érintett alapvető jogaival és ennek alapján döntjük el, hogy az adatkezelés jogszerű lesz-e.
A munkáltatónak mindenekelőtt számba kell vennie, hogy mi az adatkezelése célja, ehhez kell-e és ha igen, milyen személyes adatokat kell kezelnie. Mérlegelni kell azt is, hogy van-e esetleg olyan megoldás, amely személyes adatok kezelése nélkül vezet a kívánt célhoz. Természetesen azonosítani kell azt a jogos érdeket, amely a munkáltatót a személyes adatok kezelésében motiválja (pl. üzleti titok védelme).
Ezt követően a munkáltatónak azt kell meghatároznia, hogy melyek azok a munkavállalói jogok, amelyek esetleg gátolhatják a munkáltató adatkezelését: így például a munkáltatói ellenőrzés során szóba jöhet a magánélethez való jog vagy az emberi méltósághoz való jog.
Végül a munkáltató mérleget von: szükséges és arányos-e a munkavállaló jogainak korlátozása a munkáltató jogos érdekeivel szemben? Például, ha az ellenőrzési módszer túl drasztikus vagy sérti a munkavállaló emberi méltóságát, úgy nem tanácsos az adott munkáltatói ellenőrzési módszer bevezetése. Ha azonban a munkáltató biztosítja a fokozatosság elvét vagy azt, hogy a munkavállaló magánszférája nem sérül, úgy az adott ellenőrzési módszernek nincs akadálya.
Az elszámoltathatóság elvével összhangban ajánlott, hogy a munkáltató az érdekmérlegelési tesztet írásban rögzítse és arról a munkavállalót tájékoztassa.
GDPR a HR-ben – A sorozat korábbi cikkei
Alapok a HR szakember számára
„Szükségesnek érezzük, hogy a GDPR szabályait a munkahelyi adatkezelés szempontjából is elemezzük, ezért cikksorozatunkban a HR-szakemberek számára lényeges pontokat emeljük ki.”
Adatkezelési elvek HR szakemberek számára
Milyen adatkezelési elveknek kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is?
Milyen jogalapon kezelhetünk HR adatokat?
A GDPR rendelet összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben.
Hogyan fogjunk hozzá?
Az adatvédelemnek minden folyamatot át kell fognia, és minden munkatársnak tisztában kell lennie azzal, hogy az adatvédelmi szempontoknak való megfelelés kulcsfontosságú.
Hogyan vizsgáljuk felül a bérszámfejtői szerződéseket?
A GDPR pontosan meghatározza, hogy adatkezelési szempontból milyen tartalmú szerződést kössön egymással az adatkezelő (például egy munkáltató) és az adatfeldolgozó (például a bérszámfejtést megbízottként végző könyvelőiroda vagy ilyen tevékenységre szakosodott cég).
Különleges adatok a HR-ben
Az adatvédelmi jog, így a GDPR is fokozott védelemben részesíti az úgynevezett különleges adatokat.
Kötelező-e a munkáltatónak adatkezelési nyilvántartást vezetnie?
A GDPR előírja, hogy magának a rendeletnek való megfelelés bizonyítása érdekében minden adatkezelő köteles nyilvántartást vezetni a hatásköre alapján végzett adatkezelési tevékenységekről.
