„Szükségesnek érezzük, hogy a GDPR szabályait a munkahelyi adatkezelés szempontjából is elemezzük, ezért cikksorozatunkban a HR-szakemberek számára lényeges pontokat emeljük ki” – a Rátkai Ügyvédi Iroda cikke.
Az elmúlt hónapokban rengeteg cikk, tanulmány, konferencia, előadás szólt az Európai Unió általános adatvédelmi rendeletéről, azaz a GDPR-ról (az Európai Parlament és a Tanács (EU) 2016/679 rendelete, amely 2018. május 25. napjától alkalmazandó) – kezdődik a Rátkai Ügyvédi Iroda munkajogi blogja GDPR-mellékletének friss bejegyzése.
Szükségesnek érezzük azonban, hogy a GDPR szabályait a munkahelyi adatkezelés szempontjából is elemezzük, ezért cikksorozatunkban a HR szakemberek számára lényeges pontokat emeljük ki. Nem vitás ugyanis, hogy a munkaviszony előtt, alatt és után is számtalan személyes adatot kezel a munkáltató, ráadásul nem csak a munkavállalók személyes adatait, hanem a családtagokét is: gondoljunk csak a gyermek utáni pótszabadság miatt szükséges adatkezelésre vagy a friss házasok adókedvezményével kapcsolatos adatok gyűjtésére, tárolására.
Lássuk tehát, hogy milyen alapvető fogalmakat érdemes tisztázni már az elején.
Mi az a „személyes adat”, amelyet védeni kell?
A GDPR szerint személyes adatnak minősül az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Azaz a munka világában feltétlenül „érintett” a munkavállaló, azonban nem csak a már munkaviszonyban álló munkavállaló minősülhet azonosítható természetes személynek: „érintett” lehet az álláspályázatra jelentkező vagy éppen a munkavállaló hozzátartozója is, hiszen a munkáltató rájuk vonatkozóan is kezel személyes adatokat, amelyek alapján az illető beazonosítható.
Milyen esetben alkalmazandó a GDPR és milyen esetben nem?
A GDPR rendeletet kell alkalmazni az alábbi esetekben:
- ha személyes adatok részben vagy egészben automatizált módon kezelnek, illetve
- ha személyes adatoknak a nem automatizált módon történő kezelése esetén, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
Itt rögtön érdemes utalni arra, hogy a GDPR szerint „nyilvántartási rendszer” a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
Fontos kiemelni továbbá, hogy a személyes adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni.
A HR nyelvére lefordítva ez annyit tesz, hogy a GDPR szerint kell eljárni az online és offline álláspályázatokra beérkezett önéletrajzok gyűjtése, tárolása, azaz adatkezelése során. Ugyanígy a munkaügyi nyilvántartó rendszerek vagy munkaidő-szoftverek, a beléptető rendszerek, a képzéseket nyilvántartó adatbázisok használatának is meg kell felelniük a GDPR követelményeinek.
Nem irányadó ugyanakkor a GDPR, ha az adatkezelést természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon történő kapcsolattartás és online tevékenységek.
Cégünk az USA-ban honos, a magyarországi leányvállalatban csak hárman dolgozunk – Vonatkozik ránk a GDPR?
A GDPR rendeletet alapvetően a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére kell alkalmazni, függetlenül attól, hogy az adatkezelés az EU területén történik vagy nem. Tehát ha az USA-ban bejegyzett cég magyar leányvállalatánál dolgozunk, akkor a magyar cég, mint az EU-ban honos vállalkozás, köteles követni a GDPR szabályait.
Mi az „adatkezelés”, és ki minősül adatkezelőnek?
A GDPR szerint az adatkezelés nem más, mint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Ilyen művelet lehet a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
A fenti fogalomból talán egyértelműen kitűnik, hogy még a legkisebb munkáltatói szervezet (például egy egyéni vállalkozó) is végez adatkezelést a munkahelyen, akár egy munkavállaló tekintetében is, hiszen a dolgozó adatait gyűjti, rögzíti, tárolja, stb. Ekképpen bármely munkáltató „adatkezelőnek” minősül.
Az „adatkezelő” tehát nem más, mint az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A HR-ben mindez annyit tesz, hogy a munkáltató az, aki vagy amely meghatározza, hogy egyes személyes adatokat milyen célból és milyen eszközzel kezelnek (amellett, hogy számos tekintetben erre jogszabály kötelezi a munkáltatókat).
Az adatkezelő fogalmától eltér az „adatfeldolgozó” fogalma: ez az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Fontos, hogy az adatkezelő csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az e rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.
Adatfeldolgozó lehet például a könyvelő vagy a bérszámfejtést végző társaság, amely a munkavállalói jelenléti adatokat, az esetleges adókedvezményre jogosító körülményeket összesíti és ez alapján számfejti a munkabért.
Itt jegyezzük meg, hogy a Munka Törvénykönyve értelmében a munkaviszonyból származó kötelezettségek teljesítése céljából a munkáltató a munkavállaló személyes adatait – az adatszolgáltatás céljának megjelölésével, törvényben meghatározottak szerint – adatfeldolgozó számára átadhatja. Erről a munkavállalót előzetesen tájékoztatni kell.