Az adatvédelem új szabályozása, a GDPR pontosan meghatározza, hogy adatkezelési szempontból milyen tartalmú szerződést kössön egymással az adatkezelő (például egy munkáltató) és az adatfeldolgozó (például a bérszámfejtést megbízottként végző könyvelőiroda vagy ilyen tevékenységre szakosodott cég) – hívja fel a figyelmet a Rátkai Ügyvédi Iroda.
Lépések a GDPR felé I. – Alapok a HR szakember számára
„Szükségesnek érezzük, hogy a GDPR szabályait a munkahelyi adatkezelés szempontjából is elemezzük, ezért cikksorozatunkban a HR-szakemberek számára lényeges pontokat emeljük ki.”
Lépések a GDPR felé II. – Adatkezelési elvek HR szakemberek számára
„Milyen adatkezelési elveknek kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is?”
Lépések a GDPR felé III. – Milyen jogalapon kezelhetünk HR adatokat?
A GDPR rendelet összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben.
Lépések a GDPR felé IV. – Hogyan fogjunk hozzá?
Az adatvédelemnek minden folyamatot át kell fognia, és minden munkatársnak tisztában kell lennie azzal, hogy az adatvédelmi szempontoknak való megfelelés kulcsfontosságú.
A GDPR előírja, hogy az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. Ezért érdemes a már meglévő szerződéseket is felülvizsgálni, szükség esetén módosítani. Fontos kitétel, hogy az adatkezelő és az adatfeldolgozó közötti szerződést vagy írásba kell foglalni (ideértve az elektronikus formátumot is), illetve, hogy szerződés köti az adatfeldolgozót az adatkezelővel szemben – olvasható a Rátkai Ügyvédi Iroda munkajogi blogja GDPR-mellékletének friss bejegyzésében.
A szerződésben – többek között – meg kell határozni az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit (pl. munkavállalók, volt munkavállalók). Ezen kívül szükséges annak szerződésbe foglalása is, hogy az adatfeldolgozó kizárólag a adatkezelő utasítása szerint kezeli a személyes adatokat; munkatársai titoktartási kötelezettséget vállalnak, illetve, hogy az adatfeldolgozó megfelelő adatbiztonsági intézkedéseket tesz a személyes adatok védelme érdekében. Ezen túlmenően az együttműködés további feltételeit is ki kell kötni a megállapodásban.
Fontos tudni, hogy alapvetően az adatfeldolgozó, például a bérszámfejtő cég, további adatfeldolgozót csak akkor vehet igénybe, ha erre az adatkezelőtől írásbeli felhatalmazással rendelkezik. Ha ilyen jellegű felhatalmazás történt, úgy az adatfeldolgozó köteles tájékoztatni az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
A további adatfeldolgozóval létrejövő szerződésben a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben szerepelnek, és ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő (például a munkáltató) felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.