A GDPR szabályai a munkahelyi adatkezelésben pandémia idején

Tematika

A GDPR szabályai a munkahelyi adatkezelésben pandémia idején

Tematika 150 perc

A munkaviszony előtt, alatt és után is számtalan személyes adatot kezel a munkáltató, ráadásul nem csak a munkavállalók személyes adatait, hanem a családtagokét is, ezért nagyon fontos az adatkezelő működésére vonatkozó jogszabályok folyamatos figyelése és a belső szabályzatok frissítése.

I. Alapvető fogalmak  és magyarázatuk (10 perc)

A GDPR szerint személyes adatnak minősül az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.

Érintett

„Érintett” a munkavállaló, azonban nem csak a már munkaviszonyban álló munkavállaló minősülhet azonosítható természetes személynek: „érintett” lehet az álláspályázatra jelentkező vagy éppen a munkavállaló hozzátartozója is, hiszen a munkáltató rájuk vonatkozóan is kezel személyes adatokat, amelyek alapján az illető beazonosítható.

Különleges Adat

Különleges adat például a szakszervezeti tagságra vonatkozó adat, az egészségügyi adat vagy éppen a természetes személyek egyedi azonosítását célzó biometrikus adat, pl. az arckép –(fényképes munkahelyi belépőkártyák)

Adatkezelő

A GDPR szerint az adatkezelés nem más, mint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Ilyen művelet lehet a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

A GDPR szerint kell eljárni az online és offline álláspályázatokra beérkezett önéletrajzok gyűjtése, tárolása, azaz adatkezelése során.

Adatfeldolgozó

Az adatkezelő fogalmától eltér az „adatfeldolgozó” fogalma: ez az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Adatfeldolgozó lehet például a könyvelő vagy a bérszámfejtést végző társaság, amely a munkavállalói jelenléti adatokat, az esetleges adókedvezményre jogosító körülményeket összesíti és ez alapján számfejti a munkabért

II. Adatkezelési elvek (20 perc)

Jogszerűség, tisztességes eljárás és átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg, elszámoltathatóság

Az adatkezelési elveknek meg kell megfelelni a GDPR szerint, amelyek nélkülözhetetlenek a HR tevékenységek körében is.

A személyes adatok kezelését jogszerűen és tisztességesen, az érintett számára átlátható módon kell végezni.

III. Jogalapok, mikor jogszerű az adatkezelés (20 perc)

A GDPR rendelet összesen hat jogalapot határoz meg az adatkezeléssel összefüggésben, tehát valamelyiknek – vagy többnek – meg kell felelnünk annak érdekében, hogy a HR adatkezelése jogszerű legyen.

1. Hozzájárulás
2. Szerződés teljesítése
3. Jogi kötelezettség teljesítése
4. Az érintett létfontosságú érdeke
5. Közhatalmi jogosítvány gyakorlása
6. Jogos érdek

IV. Munkahelyi adatvédelem

IV. 1. Munkahelyi adatvédelem változásai, a munkavállalók ellenőrzései (15 perc)

Céges eszközök használata (laptop, telefon) magáncélra. Erkölcsi bizonyítvány kérdésköre. Visszaélés-bejelentési rendszer módosulása. Egészségügyi adatok kezelésének szabályozása. Változások a kamerás megfigyelésben. Változások a biztosítási szektorban. Pmt. változásai. 

IV. 2. GDPR kötelező adatkezelések felülvizsgálata, magatartási kódexek létrehozásának szükségessége (30 perc)

Tekintsük át a jelenlegi adatkezeléssel kapcsolatos folyamatokat, a kezelt adatok körét és azt, hogy megfelelő jogalap áll-e rendelkezésre az adatkezeléshez. Célszerű, hogy a GDPR-alapelvek tükrében nézzük meg, hogy azoknak megfelelünk-e. Nézzük át azt is, hogy az érintettek (pl. álláspályázatra jelentkezők, munkavállalók) jogai biztosítottak-e a jelenlegi folyamatokban.

IV. 3. Operatív intézkedések (25 perc)

A legfontosabb munkajogi és adatvédelmi előírások járvány idején

A COVID-19 okozta járványügyi helyzetre tekintettel számos adatvédelmi hatóság, köztük a magyar, francia, olasz adatvédelmi hatóság is tájékoztatást adott ki az elmúlt napokban. A Nemzeti Adatvédelmi és Információszabadság Hatóság (’NAIH’) 2020. március 10-ei tájékoztatóban foglaltak szerint mind a munkavállalókra, mind pedig a munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyre vonatkozó általános magatartási követelményekből, így különösen az együttműködési kötelezettség és jóhiszeműség és tisztesség elvéből levezethetően a foglalkoztatottaknak általános esetben tájékoztatniuk kell a munkáltatót arról, ha bármilyen a munkahelyet, további munkavállalókat vagy a munkavégzés során velük kapcsolatba kerülő harmadik személyeket érintő egészségügyi, vagy egyéb kockázatokról van tudomásuk.

V. Ellenőrzés és megfelelőség (30 perc)

A GDPR-nak való megfelelés nem egy egyszeri esemény, az adatvédelmi mechanizmusokat folyamatosan biztosítani kell. A technika fejlődésével, újabb és újabb toborzási, kiválasztási, adattárolási stb. eszközök megjelenésével folyamatosan tartani kell a lépést adatvédelmi szempontból is. Célszerű tehát, hogy minden téren és folyamatosan biztosított legyen a GDPR-nak való megfelelés.

Munkavállalók ellenőrzésének adatvédelmi kérdései: Amennyiben a munkáltatók, akár kérdőíves, akár mérőeszközös módszerrel információt gyűjtenek a munkavállalók egészségügyi állapotáról, magáncélú külföldi utazásairól, az információgyűjtést megelőző kockázatértékelésnek kell alávetni. Fontos előírás, hogy a kérdőívek nem tartalmazhatnak az érintett egészségügyi kórtörténetére vonatkozó adatokat, valamint egészségügyi dokumentáció becsatolása sem igényelhető, emellett részletes tájékoztatást kell kidolgozni és garanciális intézkedéseket kell az adatkezelés jogszerűségének elősegítésére bevezetni, az ilyen célú adatkezelési jogalapok meghatározását végre kell hajtani, valamint az ilyen irányú ellenőrzési intézkedések megtételéhez érdekmérlegelési tesztek lefolytatását is el kell végezni.

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Konzultáció