GDPR a munkahelyen
Ez a lecke akkor tekinthető teljesítettnek, ha minden diát megtekintünk és a leckében eltöltjük az előírt időt, amit a kis óra ikonnal nyomon is követhetünk.

Mi az a GDPR?

A GDPR a General Data Protection Regulation rövidítése, ami magyarul Általános Adatvédelmi Rendeletet jelent. Az angol mozaikszó már a magyar köznyelvben is elterjedt, leginkább így hivatkozunk az adatvédelmi előírásokra.
Ez egy közösségi szintű jogszabály, az Európai Parlament és a Tanács 2016/679 rendelete, ami a személyes adatok védelmére jött létre, mégpedig úgy, hogy szankciók segítségével szabályozza azok Unión belüli áramlását.

Milyen esetben szükséges alkalmazni a GDPR előírásokat?

  • ha a vállalkozás, függetlenül attól, hogy erre hol kerül sor, személyes adatot kezel és a székhelye az EU-ban van
  • ha a vállalkozás, amelynek az EU-n kívüli a székhelye, személyes adatokat kezel abban a körben, ahol az EU-ban egyének részére árukat vagy szolgáltatásokat kínál értékesítésre, vagy megfigyeli egyének magatartását az EU-ban.
  • Azon nem uniós székhelyű vállalkozásoknak, melyek uniós polgárok adatait kezelik, ki kell nevezniük az EU-ban egy képviselőt.

 

Jó tudni

A GDPR rendeletet nem kell alkalmazni, ha az érintett már nem él, az érintett jogi személy, az adatkezelést nem a szakmája, üzleti tevékenysége vagy foglalkozása keretében eljáró személy végzi. 

 

Mikor jogszerű az adatkezelés egy vállalkozás részéről?

 

 

  • az érintett hozzájárulását adta személyes adatainak kezeléséhez;
  • az adatkezelés szerződéses kötelezettség teljesítéséhez szükséges
  • az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges
  • az adatkezelés közérdekű feladat végrehajtásához szükséges
  • az adatkezelés egy személy létfontosságú érdekeinek védelme miatt szükséges;
  • az adatkezelés az adatkezelő jogos érdekeinek érvényesítéséhez szükséges, de ekkor ellenőrizni szükséges, hogy az adatkezelés során az érintettek alapvető jogai és szabadsága nem sérülnek-e súlyosan.

Hozzájárulás az adatok kezeléséhez

A NAIH, mint hatóság gyakorlata a hozzájárulás fogalmait tekintve:

  • kifejezettség: az érintett aktív magatartását jelenti
  • önkéntesség: érintett részére valóban választási lehetőség áll rendelkezésre
  • félreérthetetlenség: a beleegyezés tudatosságát jelenti
  • megfelelő tájékoztatás: közérthető, átlátható előzetes tájékoztatás szükséges

A munkáltató, mint adatkezelő célja

A munkáltató adatkezelői feladata elsősorban, hogy meghatározza az általa kezelt személyes adatok körét, az adatkezelés jogalapját, célját, az adatkezelésének eszközeit és módját, valamint biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését. Megakadályozza a személyes adatokhoz történő jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát, felhasználását. A munkáltatónak biztosítania kell a törlés, sérülés és megsemmisülés elleni védelmet.

Adatkezelés a munkáltató által

A GDPR rendelet tartalmazza, hogy a munkavállalók foglalkoztatással összefüggő személyes adatainak kezelése körében a tagállamok saját jogszabályban, illetve kollektív szerződésekben külön szabályozást állapíthatnak meg a jogok és szabadságok védelmének biztosítása érdekében.

Speciális szabályozás lehetősége a tagállamokban

Tagállami szabályozás hozható kiemelten a következőkre:

  • a munkaerő-felvétele;
  • a munkaszerződés teljesítése 
  • a munka irányítása, tervezése és szervezése;
  • a munkahelyi egyenlőség és sokféleség kérdése;
  • a munkahely egészségvédelme és biztonsága;
  • a munkáltató vagy vevő tulajdonjogi védelme;
  • a munkaviszony megszüntetésének esetei;
  • foglalkoztatási jogok és juttatások gyakorlása.

Átlátható adatkezelés

Az előzőekben felsorolt szabályoknak magukban kell foglalniuk a megfelelő és egyedi intézkedéseket, amelyek alkalmasak általuk védett emberi méltóságnak, jogos érdekeknek és alapvető jogoknak a biztosítására, például:  

  • adatkezelés átláthatósága;
  • munkahelyi ellenőrzési rendszerek tekintetében;
  • személyes adatok közös gazdasági tevékenységet folytató vállalkozások adott csoportján belüli továbbítása.

 

A munkavállaló tájékoztatása

A GDPR rendelet által előírt, az adatkezelésről az érintett részére nyújtott átfogó tájékoztatás nem okozhatja az érintettre zúduló adatömlesztést. A tájékoztatásnak jogi alapokon kell nyugodnia. A tömör, világos, átlátható és érthető tájékoztatási követelmények közötti ellentmondás feloldása az adatkezelő feladata.

Profilozás és elemzés

A közösségi médiában a felhasználók profilja  - beállítástól függően - bárki számára hozzáférhető. Emiatt a munkáltató úgy gondolhatja, hogy a toborzás alatt jelentkezők, vagy később alkalmazásban állók közösségi profiljainak megtekintése minden esetben megengedett. Az elemzési lehetőségek fejlődése miatt a közösségi platformokon a munkáltatók érzékeny adatokat gyűjthetnek az alkalmazottak ismerőseiről, meggyőződéséről, szokásairól, érdeklődési köréről, akár tartózkodási helyéről.

Érdekesség

A közösségi média felelőtlen használata okozott pár kellemetlen hónapot egy kamionsofőrnek a Coca Colánál, aki feltöltött egy képet munkaruhában Pepsit fogyasztva. Jó hírnév megsértése miatt elküldték. Később a szakszervezet erős nyomására visszakapta állását.

 

Megfigyelés

A rendelkezésre álló 21. századi technika biztosíthatja a munkavállaló eltérő időpontokban, változó munkaállomásokon és home officeban való nyomonkövetését, rengeteg különböző eszközön, mint az okostelefon, számítógép, táblagép, járműbe épített vagy testen viselhető eszköz segítségével. Amennyiben nem jelölünk ki határt az adatkezelés számára, és nem tesszük azt átláthatóvá, előfordulhat, hogy a magánszférát veszélyeztető, igazolhatatlan megfigyeléssé változik a munkáltatók hatékonyságának növeléséhez és a vállalati tulajdon védelméhez fűződő jogos érdeke.

Mit enged a jog?

Manapság sokan - és valószínűleg egyre többen - dolgoznak céges számítógépen. Amennyiben a munkáltató és a munkavállaló nem állapodnak meg külön, akkor:

  • az adatforgalom és maga a gép is ellenőrizhető,
  • a munkavállaló felelőssége, hogy a magáncélú felhasználás esetén milyen adatokat ad meg, rögzít a gépén.

Fontos

A törvény a következőt mondja ki: „a munkavállaló a rendelkezésére bocsátott számítástechnikai eszközt kizárólag a munkaviszony teljesítése érdekében használhatja”. Ez többek között azt is jelenti, hogy a munkavállaló munkaidőben dolgozzon, ne pedig Facebookozzon.