Milyen adatkezelési elveknek kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is? A Rátkai Ügyvédi Iroda összefoglalója.

Korábbi cikkünkben bemutattunk néhány alapvető fogalmat a GDPR-ral kapcsolatban. Cikksorozatunkat folytatva most megvizsgáljuk, hogy milyen adatkezelési elveknek kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is – olvasható a Rátkai Ügyvédi Iroda munkajogi blogja GDPR mellékletében megjelent friss bejegyzésben.

Jogszerűség, tisztességes eljárás és átláthatóság

A személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni. Azaz, a természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogyan tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Mindez a HR számára különös kihívás jelenthet, figyelemmel arra, hogy a születési adatoktól kezdve a munkavállaló által használt céges autó GPS rekordjaiig számos adat kezelése történik a HR folyamatokban.

Célhoz kötöttség

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. A személyes adatok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. A magyar joggyakorlat eddig is szigorú volt e körben: például a toborzási folyamatban a jelentkező által megadott előképzettségi adatokat a munkáltató „önhatalmúlag” nem használhatja fel egy későbbi képzési tervvel összefüggésben, hiszen az már egy másik cél az adatkezelést tekintve.

Adattakarékosság

A személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, valamint csak a szükségesre szabad korlátozódniuk. Ezért célszerű, hogy a HR alaposan körbejárja, hogy milyen adatokat kezel és a felesleges adatokat törölje.

Pontosság

A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, azaz minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. Célszerű tehát a kezelt adatokat időről-időre felülvizsgálni, pontatlanság esetén korrigálni.

Korlátozott tárolhatóság

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére például statisztikai célból kerül majd sor (megfelelő technikai és szervezési intézkedések végrehajtásával együtt). A gyakorlatban sokszor látjuk, hogy egy-egy álláspályázatra érkezett önéletrajzok hónapokig vagy akár évekig halmozódnak, annak ellenére, hogy az adott állást már régen betöltötték (ez már ma sem jogszerű). Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, a munkáltatónak mindenképpen ajánlott törlési vagy rendszeres felülvizsgálati határidőket megállapítania.

Integritás és bizalmas jelleg

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Elszámoltathatóság

Az adatkezelő, azaz a munkáltató felelős az adatkezelési elveknek való megfelelésért, ezen túlmenően képesnek is kell lennie e megfelelés igazolására.