Jön az uniós adatvédelmi rendelet, változik a munkavállalók élete is

2018. május 25-én hatályba lép az európai unió adatvédelmi rendelete (General Data Protection Regulation, GDPR), amely egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat. A GDPR elsősorban a személyek jogait, másodsorban pedig a társaságok a kötelezettségeit bővíti. Mivel a munkáltató a munkaviszony során a munkavállalók személyes adatait kezeli, ezért adatkezelőnek minősül, így vonatkozik rá a GDPR.

Twitter megosztás
Google+ megosztás
Cikk küldése e-mailben
Cikk nyomtatása

A GDPR szabályainak megsértése esetén bírság szabható ki, melynek mértéke 20 millió euró vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 százalékát kitevő összege is lehet.

A GDPR megengedi, hogy tagállamok jogszabályban vagy kollektív szerződésekben az előírtaknál pontosabb szabályokat állapítsanak meg a munkavállalók adatkezelésével kapcsolatosan, a toborzástól a munkaviszony megszűnéséig. Ilyen lehet például annak meghatározása, hogy munkaszerződésben található adatvédelmi hozzájárulás mikor tekinthető érvényesnek. Minden tagállamnak legkésőbb 2018. május 25-ig kell értesíti a bizottságot ezen rendelkezésekről. Magyarország jelenleg nem fogadott még el e témában részletesebb rendelkezéseket.

Zempléni Kinga munkaügyi ügyvéd szerint az alábbiakat kell megtenniük a munkáltatóknak az elkövetkező hónapokban:

  • Átnézni a jelenlegi HR szerződés mintákat, szabályzatokat és megállapítani, hogy a GDPR-nek mely részek nem felelnek meg.

  • A GDPR rendelkezései alapján módosítani a mintákat és új eljárásokat bevezetni.

  • Mintaválaszokat kidolgozni adatkérések esetén, annak érdekében, hogy a GDPR-nek megfelelően kommunikáljon a társaság.

  • Az informatikai rendszert oly módon módosítani, hogy könnyen kereshetőek legyenek az egyes munkavállalókra vonatkozó személyes adatok.

  • Az adatvédelemmel foglalkozó munkatársak részére megfelelő adatvédelmi tréninget biztosítani.

  • Lehetőség szerint egy online rendszer kialakítása munkavállalók személyes adatainak tárolása és hozzáférése céljából.

A GDPR munkáltatókra vonatkozó szabályai

Tájékoztatás és hozzájárulás

Jelenleg általában a munkaszerződés tartalmaz egy rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen, ezért fontos, hogy a munkáltató helyesen állapítsa meg az adatkezelés jogalapját. Ennek megfelelően, jövő májusig a munkáltatónak át kell vizsgálnia a munkaszerződés mintát és megállapítani, hogy egyes adatokat milyen jogcímen kezelik. A munkáltatóknak vélhetően egy részletesebb adatvédelmi tájékoztatást kell a munkaszerződésbe vagy az adatvédelmi szabályzatba foglalniuk, illetve egyedi hozzájárulásokat kérni adatok kezelésére.

Munkavállaló jogai

A munkáltatónak olyan mechanizmust kell kialakítania, amely által többek között a munkavállalónak lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolni a tiltakozáshoz való jogát. A munkáltató ennek megfelelően köteles biztosítani a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik.

Adatvédelmi incidens

Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása, megsemmisítése, elvesztése, megváltoztatása esetén a munkáltatónak bejelentési kötelezettsége keletkezik a felügyelő hatóság felé. Amennyiben ez az incidens a munkavállaló személyes adatait érinti, akkor munkavállalót is értesíteni kell.

Az adatvédelmi tisztviselők

Az új általános adatvédelmi rendelet a belső adatvédelmi tisztviselő kinevezését a jelenlegi szabályoknál szélesebb adatkezelői körben teszi kötelezővé.  Ha erre kerül sor, akkor fontos, hogy a munkáltató megbizonyosodjon arról, hogy valaki a szervezeténél vagy egy külső tanácsadó megfelelően felelősséget vállal az adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ehhez.

Adatvédelmi hatásvizsgálat

Az új szabályok értelmében, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa valószínűsíthetően magas kockázattal jár a munkavállalók jogaira, személyes adataira nézve, akkor a munkáltatónak az adatkezelést megelőzően hatásvizsgálatot köteles végezni.

Adatvédelmi nyilvántartás

Megszűnik a NAIH hivatalos adatvédelmi nyilvántartása, a jövőben azonban minden munkáltatónak kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni.

Adatvédelmi szabályzat

A munkáltató köteles adatvédelmi szabályzatokat elfogadni, amely az adatkezeléssel, a munkavállalók jogaival kapcsolatos főbb szabályokat tartalmazza.