Milyen jogalapokat biztosít a GDPR az adatkezelésre? A kérdésre – a HR szemszögéből vizsgálva – a Rátkai Ügyvédi Iroda válaszol.
Lépések a GDPR felé I. – Alapok a HR szakember számára
„Szükségesnek érezzük, hogy a GDPR szabályait a munkahelyi adatkezelés szempontjából is elemezzük, ezért cikksorozatunkban a HR-szakemberek számára lényeges pontokat emeljük ki.”
Lépések a GDPR felé II. – Adatkezelési elvek HR szakemberek számára
„Milyen adatkezelési elveknek kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is?”
A GDPR rendelet összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben, tehát valamelyiknek – vagy többnek – meg kell felelnünk annak érdekében, hogy a HR adatkezelése jogszerű legyen – olvasható a Rátkai Ügyvédi Iroda munkajogi blogja GDPR-mellékletének friss bejegyzésében.
1. Hozzájárulás
Evidensnek tűnik, hogy ha az a személy, akinek az adatait kezeljük (vagyis az „érintett”) az adatkezeléshez hozzájárul, akkor nem lehet vitás az adatkezelés jogszerűsége. A GDPR szerint az adatkezelés jogszerű, ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Az érintett hozzájárulása akkor megfelelő, ha az az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ennek megfelel az aláírás vagy az elektronikus felületen kipipált „checkbox” négyzet is, a lényeg, hogy a hozzájárulásnak aktív cselekménynek kell lennie.
Az adatvédelmi gyakorlat alapján azonban óvatosan kell bánnia a HR-nek a hozzájárulással, ugyanis egy függő helyzetben (munkáltató – munkavállaló) a hozzájárulás önkéntessége erősen megkérdőjelezhető.
2. Szerződés teljesítése
Jogszerű az adatkezelés a GDPR szerint akkor is, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Tipikus példa erre a HR-ben a munkaszerződés vagy egyéb, a munkaviszonyhoz kötődő megállapodás (pl. tanulmányi szerződés, a tanulmányok eredménye).
3. Jogi kötelezettség teljesítése
Jogszerű az adatkezelés, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. A HR folyamatokban túlnyomórészt ezzel a jogalappal találkozhatunk, hiszen a munkabérek számfejtése és kifizetése, az adó- és járulékbevallások mind jogszabályon alapulnak, mint ahogyan a kötelező munkaköri alkalmassági vizsgálat (üzemorvosi vizsgálat) ténye is.
4. Az érintett létfontosságú érdeke
A GDPR megfelelő jogalapként elfogadja azt az esetet is, amikor az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. A HR tevékenységben ilyen lehet például egy adott egészségügyi kockázat, például a várandós nő foglalkoztatása kapcsán (megjegyzendő, hogy ilyen adatokat a munkáltató jogi kötelezettség alapján is kezelhet).
5. Közhatalmi jogosítvány gyakorlása
Jogszerű az adatkezelés, ha az közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. A HR-re vetítve álláspontunk szerint szóba jöhet ennek kapcsán az az eset, amikor a munkáltató TB-kifizetőhelyként működik és ezen jogkörében tb-ellátásokról dönt (pl. üzemi baleseti táppénz). (Minden munkáltató, amely legalább 100 társadalombiztosítási ellátásra jogosult személyt foglalkoztat, köteles gondoskodni törvényben vagy kormányrendeletben meghatározott társadalombiztosítási és egyéb feladatok ellátásáról, ennek érdekében társadalombiztosítási kifizetőhelyet köteles létrehozni vagy e feladatok ellátására más, kifizetőhelyet fenntartóval megállapodást kötni.)
6. Jogos érdek
Végül jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
A HR-re lefordítva ezt számos példa juthat eszünkbe, elég csak például a céges autóba épített GPS adatainak rögzítésére, tárolására gondolnunk, amelynek elsődleges célja a munkáltató vagyonának védelme, ugyanakkor nem kerülhető el, hogy a munkavállaló mozgását is rögzítse.
Ne felejtsük azt, hogy hiába volt jogalapunk egy adat kezelésre, ha annak célja már nem létezik – ilyen esetben az adat nem kezelhető tovább. Például a toborzás során megszerzett önéletrajz – kifejezett, meghatározott ideig történő megőrzésre adott érintetti hozzájárulás hiányában – törlendő, ha nem az illető pályázót vesszük fel.
Fontos, hogy a HR által kezelt minden egyes adat tekintetében meg tudjuk határozni legalább egy jogalapot, jelenlegi jogalapjainkat felülvizsgáljuk és szükség esetén módosítsuk.
